SSL proti
Komunikacije prek omrežij ali interneta lahko postanejo zelo nezanesljive, če niso vzpostavljeni ustrezni varnostni ukrepi. To bi lahko bilo ključnega pomena za aplikacije, kot so plačilne transakcije v spletu, saj bi strankam in podjetjem povzročile izgube v višini milijonov dolarjev. Tu nastopita SSL in HTTPS. SSL je kriptografski protokol, ki se uporablja za zagotavljanje varnosti komunikacij nad transportno plastjo. HTTPS je kombinacija HTTP in SSL, ki lahko ustvari varne kanale prek nevarnih omrežij.
Kaj je SSL?
SSL (Secure Socket Layer) je kriptografski protokol, ki se uporablja za zagotavljanje varnosti komunikacij, ki potekajo prek interneta. SSL uporablja asimetrično kriptografijo za ohranjanje zasebnosti in kode za preverjanje pristnosti sporočila za zagotavljanje zanesljivosti za vse omrežne povezave nad transportno plastjo. SSL se široko uporablja za brskanje po spletu, e-pošto, faksiranje prek interneta, IM (takojšnja sporočila) in VoIP (Voce-over-IP). SSL je razvilo podjetje Netscape Corporation, nasledil pa ga je TLS (Transport Layer Security). SSL 2.0 je bil izdan leta 1995 (različica 1.0 ni bila nikoli objavljena), različica 3.0 (izdana plast leta) pa je nadomestila različico 2.0 (ki je imela več pomembnih varnostnih napak). Kasneje je bil TLS predstavljen kot SSL 3.1. Trenutna različica je SSL 3.3, ki je večinoma označena kot TLS 1.2. SSL zajema protokole aplikacijskega sloja, kot so HTTP, FTP in SMTP, tako da se implementira preko transportnega sloja. Tradicionalno se je uporabljal s TCP (protokol za nadzor prenosa) in v manjši meri z UDP (protokol za uporabniški datagram). SSL se uporablja s HTTP za pridobitev HTTPS, ki uporablja potrdila javnih ključev za prepoznavanje končnih točk za aplikacije, kot je e-trgovina.
Kaj je
HTTPS (HTTP Secure) je protokol, ustvarjen z združevanjem protokolov HTTP (HyeperText Transfer Protocol) in SSL/TLS. HTTPS zagotavlja varno komunikacijo s šifriranjem in identificira končne točke povezav, zaradi česar je idealen za aplikacije, kot so plačilni prehodi na WWW (svetovnem spletu) ali občutljive transakcije v podjetjih. V bistvu lahko HTTPS ustvari varno povezavo prek nevarnega omrežja. Če so uporabljeni paketi šifer ustrezni in so potrdila strežnika zaupanja vredna, bodo ti varni kanali HTTPS zaščitili pred prisluškovanjem in napadi Man-in-the-Middle. Toda tudi če se uporablja HTTPS, lahko uporabnik zagotovi, da je kanal popolnoma varen le, če so izpolnjeni vsi naslednji pogoji: brskalnik pravilno izvaja HTTPS s CA-ji (certifikacijskimi organi), CA-ji jamčijo samo za zakonita spletna mesta, potrdilo, ki ga zagotavlja je spletno mesto veljavno, spletno mesto je pravilno identificirano s certifikatom in končno so vmesni skoki vredni zaupanja. Vsi sodobni brskalniki opozorijo uporabnike, če prejmejo neveljavna potrdila s spletnih mest. Seveda ima uporabnik možnost, da nadaljuje na lastno odgovornost.
Kakšna je razlika med SSL in
Glavna razlika med SSL in HTTPS je, da je SSL kriptografski protokol, medtem ko je HTTPS protokol, ustvarjen s kombinacijo HTTP in SSL. Včasih pa HTTPS sam po sebi ni prepoznan kot protokol, temveč mehanizem, ki zgolj uporablja HTTP prek šifriranih povezav SSL. Z drugimi besedami, HTTPS uporablja SSL za ustvarjanje varne povezave HTTP. Zaradi šifriranja, ki ga zagotavlja SSL, je HTTPS sposoben prenesti prisluškovanje in napade človeka v sredini.