ماذا تعرف عن SSL/TLS ؟

Security
يعد كلاً من SSL و TLS بروتوكولات تساعد علي مصادقة البيانات ونقلها عبر شبكات الإنترنت بشكل آمن، ولكن ما الفرق بينما؟ هذا ما سنتعرف عليه في هذه المقالة
Amr Naom
April 8, 2023, 9 p.m.
amr
ماذا تعرف عن SSL/TLS ؟

يعد كلاً من SSL و TLS بروتوكولات تساعد علي مصادقة البيانات ونقلها عبر شبكات الإنترنت بشكل آمن، ولكن ما الفرق بينما؟ هذا ما سنتعرف عليه في هذه المقالة..

ما الفرق بين SSL و TLS ؟

SSL إختصاراً لـ Secure Socket Layers، أما TLS إختصاراً لـ Transport Layer Security، وكلاهما بروتوكولات تشفير يقومان بتشفير البيانات ومصادقة الأتصال بين نظامين عند نقل البيانات عبر الأنترنت.

عندما تريد أن تضع بطاقات الائتمان علي موقع الويب، فستساعدك بروتوكولات SSL/TLS في معالجة البيانات بشكل آمن حتي لا يستطيع المتنصتون أو مجرمي الأنترنت من الحصول عليها.


ويكمن الفرق بين SSL و TLS في أن TLS هي إصدار أحدث من SSL يعمل علي إصلاح الثغرات الأمنية السابقة الموجودة في بروتوكول SSL.

نبذة تاريخية:

تم إصدار SSL 2.0 لأول مرة في فبراير 1995 (مع العلم أنه لم يتم إصدار SSL 1.0 للعلن نظراً لأحتوائه علي عيوب أمنية) وعلي الرغم من إصدار SSL 2.0 إلا أنه احتوي أيضاً علي عيوب أمنية، ولذلك تم أستبداله بـ SSL 3.0 في عام 1996.

بعد ذلك، في عام 1999 تم إطلاق الإصدار الأول من TLS 1.0 كترقية لـ SSL 3.0، وبعد ذلك كان هناك ثلاثة إصدارات من TLS وكان أخرهم هو TLS 1.3 في أغسطس 2018.

  • SSL 1.0 - لم يتم إصداره علنًا نظراً مشكلات أمنية.
  • SSL 2.0 - تم إصداره في عام 1995. تم إيقافه في عام 2011. لديه مشكلات أمنية.
  • SSL 3.0 - تم إصداره في عام 1996. تم إيقافه في عام 2015. لديه مشكلات أمنية.
  • TLS 1.0 - تم إصداره في 1999 كترقية لـ SSL 3.0. تم إيقافه في عام 2020.
  • TLS 1.1 - تم إصداره في عام 2006. تم إيقافه في عام 2020.
  • TLS 1.2 - صدر في عام 2008.
  • TLS 1.3 - تم إصداره في 2018.

 

يمكنك تتبع تاريخ الإصدارات من Feistyduck Timeline

يُنظر إلى TLS على أنه أكثر أمانًا من SSL 3.0 بسبب التدابير المضافة لمنع الاستغلال وتخفيف الثغرات الأمنية في كل إصدار


كيف تعمل بروتوكولات SSL/TLS ؟

عندما تقوم بثبيت شهادة SSL/TLS علي خادم الويب الخاص بك، وغالباً ما تسمي "SSL Certificate"، فأنها تعتمد علي الـ Asymmetric Encryption، حيث تستخدم مفاحين للتشفير "مفتاح عام للتشفير ومفتاح خاص لعملية فك التشفير" وذلك لمصادقة الخادم الخاص بك والسماح للخادم بتشفير وفك تشفير البيانات.

السبب وراء تسمية شهادة SSL/TLS بـ SSL Certificate يرجع في الأساس إلي مشكلة تتعلق بالعلامة التجارية، فمعظم موفري تلك الشهادات يطلقوم عليها SSL Certificate.

عندما ينتقل زائر إلي موقعك الإلكتروني، سيبحث متصفح الويب الخاص به عن شهادة SSL/TLS الخاصة بموقعك، بعد ذلك سيقوم المتصفح بإجراء عملية تسمي بـ "Handshake" للتحقق من صلاحية شهادتك والمصادقة مع الخادم الخاص بك، فإذا كانت فإذا كانت شهادة الـ SSL/TLS غير صالحة قد يواجه الزائرون خطأ بأن الأتصال بخادم الويب الخاص بك غير آمن، وقد يتسبب في أنهم يغادرون، ولكن بمجرد أن يحدد متصفح الزائر بأن الشهادة صالحة فيقوم بإنشاء رابط مشفر بيه وبين خادمك ليقوم بنقل البيانات بشكل آمن، والصورة التالية توضح عملية Handshake.

credits to: appviewx.com

 

وهنا يأتي دور بروتوكول HTTPS الذي يشير إلي "HTTP بإضافة شهادة  SSL/TLS" و هو البروتوكول الذي يقوم بنقل البيانات عبر الأنترنت.

بإستخدام HTTP تكون تلك البيانات عرضه للهجمات ولكن عند إستخدام HTTPS يقوم بتشفير البيانات والمصادقة عليها خلال عملية النقل، مما يجعل الأتصال آمن، هذا هو السبب الذي يجعلك تستخدم HTTPS عندما تقوم معالجة بطاقات الائتمان بأمان ولا تستخدم HTTP.


ماذا يجب عليك أن تستخدم SSL أم TLS ؟ وأي إصدار ؟

يقوم TLS بإستبدال SSL، حيث أن بروتوكول SSL ليس آمناً كما علمنا مسبقاً، كما أن الإصدارات الحديثة من  TLS تقدم ميزات تحسين في الأداء، وكما أن معظم متصفحات الويب الحديثة لم تعد تدعم SSL 2.0 أو SSL 3.0.

ولذك إذا عليك أن تستخدم TLS ولكن الأفضل أن تستخدم الأصدار الأخير منه و هو TLS 1.3، حيث توقفت معظم المتصفحات الرئيسية عن دعم TLS 1.0 و TLS 1.1 في 2020.

الصورة التالية توضح إصدارات المتصفحات التي تدعم TLS 1.3:

credits to: caniuse.com

وهنا عزيزي القارئ نكون قد وصلنا لنهاية مقالتنا، نلقاك لاحقاً، دمت في سلام heart
 

References:

SSL TLS SSL/TLS SSL Certificate شهادة SSL Amr Naom