Tìm hiểu về sự khác nhau giữa TLS và SSL

TLS vs SSL – Mục đích tương tự, nhưng cách thức khác nhau.

Khi bạn đang tìm hiểu về SSL, hoặc nếu bạn đã làm việc với SSL (Secure Sockets Layer) để bảo mật cho website của doanh nghiệp hoặc bất kỳ kết nối nào, bạn có thể gặp một giao thức truyền thông bảo mật khác: TLS (Transport Layer Security) và có thể thắc mắc về ‘TLS khác gì với SSL’.

Phần lớn những người được kết nối với các website trực tuyến đều biết SSL cung cấp một giao tiếp được bảo mật, mã hóa giữa máy khách và máy chủ. Nhưng bạn có thể tự hỏi TLS là gì, và gãi đầu về sự khác biệt.

May mắn thay, sự thật là đơn giản. TLS chỉ đơn giản là phiên bản SSL được nâng cấp. TLS lần đầu tiên được giới thiệu vào năm 1999 như là một bản nâng cấp lên SSL Version 3.0 và được viết bởi Christopher Allen và Tim Dierks. Như đã nêu trong bài báo gốc của họ, “sự khác biệt giữa giao thức này và SSL 3.0 không đáng kể, nhưng chúng đủ quan trọng để loại trừ khả năng tương tác giữa TLS 1.0 và SSL 3.0”.

Vì vậy, trong thực tế khi bạn đang nói về SSL ngày hôm nay, thì có nghĩa là bạn đang nói về TLS. Tuy nhiên, đa số mọi người quen thuộc với SSL thay vì TLS và đó là lý do tại sao tất cả các thương hiệu lớn như Symantec, Thawte, Comodo và GeoTrust không thay đổi tên sản phẩm của họ từ Chứng chỉ SSL sang chứng chỉ TLS. Tương tự như vậy, đây là lý do tại sao phần mềm cho phép SSL trên máy chủ, chẳng hạn như OpenSSL, không thay đổi tên thành OpenTLS.

Bản thân các chứng chỉ đã được mở rộng theo thời gian để hỗ trợ tất cả các phiên bản SSL và TLS, do đó bạn không cần phải lo lắng rằng bạn có thể mua một chứng chỉ đã lỗi thời. Bạn cũng có thể liên hệ các công ty cung cấp SSL trong nước như iNET để biết thêm chi tiết về chứng chỉ này

SSL có thực sự chết không?

Không, không hoàn toàn. Bạn có thể xem thêm

Nhìn chung, có 5 phiên bản SSL và TLS khác nhau. Cả các phiên bản trước lẫn được nâng cấp. Tuy nhiên, không phải tất cả các máy tính và máy chủ đều hỗ trợ tất cả 5 phiên bản, do đó, một phần quan trọng trong việc thiết lập kết nối an toàn là có máy khách và máy chủ đồng nhất về giao thức để sử dụng. Khi máy khách thiết lập kết nối với máy chủ, có một quá trình được gọi là “handshake”, nơi máy khách và máy chủ chọn phiên bản giao thức. Trong một số trường hợp, việc thiếu hỗ trợ lẫn nhau sẽ dẫn đến việc sử dụng giao thức cũ hơn, chẳng hạn như SSL 3.0. Điều này thực sự nguy hiểm. SSL 3.0 đã được chứng minh là dễ bị tấn công. Nó sẽ không được chấp nhận rộng rãi. Hầu hết các nền tảng đã thực hiện điều này, nhưng bây giờ, sau đó ở phiên bản web cũ, bạn vẫn sẽ tìm thấy SSL 3.0.

Mặc dù chúng tôi vẫn nói về SSL và TLS như thể chúng giống nhau, có những khác biệt lớn về kỹ thuật giữa phiên bản TLS mới nhất (Phiên bản 1.3) và phiên bản SSL mới nhất đã được phát hành (SSL 3.0). Một lần nữa, đây là lý do tại sao sử dụng SSL 3.0 ngày hôm nay có thể nguy hiểm.

Hầu hết các thiết bị hiện nay đã hỗ trợ TLS, tuy nhiên có một cách để buộc kết nối sử dụng các phiên bản SSL cũ hơn và không an toàn được gọi là “tấn công hạ cấp”. Thật không may, SSL 3.0 có điểm yếu mà tin tặc có thể khai thác, tạo cho họ động lực để cố gắng buộc các máy chủ hạ cấp xuống SSL 3.0

Điều đó đang được nói – bạn không nên lo lắng quá nhiều. Hỗ trợ các phiên bản SSL hiện đại, an toàn nhất chỉ đơn giản là vấn đề cập nhật cấu hình máy chủ của bạn. Tất cả chứng chỉ SSL đều có khả năng sử dụng bất kỳ phiên bản giao thức SSL hoặc TLS nào – vì vậy đó không phải là điều bạn cần phải lo lắng khi mua chứng chỉ.

Các phiên bản cũ của giao thức SSL có thể được sử dụng như thế nào để làm suy yếu bảo mật Internet?

 

Vào năm 2014, các nhà nghiên cứu tại Google đã tiết lộ lỗ hổng “POODLE”, điều này có thể cho phép kẻ tấn công giải mã các kết nối được mã hóa cho các trang web sử dụng giao thức SSL 3.0 bằng cách sử dụng tấn công “middle” – một cách phổ biến để chặn dữ liệu.

Middle được dùng để chỉ việc hacker bắt được kế nối giữa máy khách và máy chủ thông qua đó đưa thêm giao tiếp của họ vào, cho phép hacker lắng nghe thông tin riêng tư giữa máy chủ và máy khách. Tin tặc cũng có thể chuyển hướng khách hàng đến một trang web được kiểm soát bởi tin tặc nơi hacker sẽ lây nhiễm cho khách hàng bằng phần mềm độc hại và / hoặc lừa đảo tài chính.

Tấn công ‘Coffee shop’ là một ví dụ hoàn hảo về cuộc tấn công “Man in the Middle”. Trong trường hợp này, một hacker đang ngồi trong quán cà phê, và đã thiết lập một máy tính xách tay để phát tín hiệu WiFi trông giống như “Coffee Shop’s WiFi.” Nạn nhân sau đó bất cẩn kết nối với tín hiệu WiFi của hacker thay vì Coffer Cửa hàng WiFi và tất cả lưu lượng của nạn nhân sau đó có sẵn cho kẻ tấn công để đánh chặn và ghi lại. Kiểu tấn công này thường sẽ bị dừng lại nếu kết nối được mã hóa. Tuy nhiên, với lỗ hổng POODLE, về mặt lý thuyết có thể giải mã một số dữ liệu từ các phiên được bảo mật bằng SSL 3.0.

May mắn thay, có một giải pháp đơn giản: SSL 3.0 có thể được vô hiệu hóa trên một máy chủ và / hoặc trong trình duyệt của khách hàng. Nếu một trong hai bên không hỗ trợ phiên bản không an toàn, không có cách nào để “quay trở lại” thành SSL hoặc thực thi cuộc tấn công.

bình luận

Leave a Comment