SSLとTLSの違い

画像



メトロポリスの住民の間での顔面認知障害の慢性的流行。クラークケントと彼のように見える2滴の水滴のように見える風変わりな飛行エイリアンは、実際には同じ人物であり、技術部門にまで及ぶことに誰も気づかないSSLプロトコルとTLSプロトコルを区別することがどれほど厳密に必要かについて、私たちは常に議論しています。



公平に言えば、これは「地球からのSSL、クリプトンからのTLS」のカテゴリーの状況ではなく、暗号化標準の継続的な改善と、インターネットの全体的なセキュリティを向上させるためのクライアントとサーバー間の古くて信頼性の低いデータ交換の拒否の価値ある例であると言う価値があります。



20年以上前、NetscapeはブラウザがGeocitiesページを表示し、セキュリティを心配することなくStar Trekに基づいてASCIIグラフィックを交換できるように、Secure Sockets Layer(SSL)プロトコルのバージョン1.0を開発しました。



画像



SSLバージョン1.0〜3.0は、効果的な暗号化アルゴリズムを作成するすべての最初の試みと同様に、セキュリティアーキテクチャが改善されたいくつかの更新バージョンのリリースを必要とする重大なセキュリティ問題の存在により批判されました。



1999年に、Transport Layer Security(TLS)プロトコルのバージョン1.0がリリースされました: tools.ietf.org/html/rfc2246 。 名前は、誰もがプロジェクトでそれを使用できるように標準のオープンな性格を強調するために変更され、それによってNetscapeの独自製品(当時はNetscape Enterprise Server Webサーバー用のソフトウェアを販売していましたが、 SSLを使用して外部チャネルからのデータを暗号化します)。 さらに、TLSはアプリケーションに依存しないプロトコルとして開発されましたが、SSLはもともとHTTP接続のみに使用されることを目的としていました。



言語の対立(「使用中に緑色のロックが表示されるプロトコルの名前は何ですか?」)では、SSL用語が優先されました。 証拠が必要な場合は、GoogleトレンドのSSLとTLSの比較をご覧ください。



画像



そのため、一般概念に関する資料または専門知識のない人のためのこの概念に関するストーリーでは、一般に受け入れられているSSLという用語が広く使用されているため、このような用語の用語を正しく理解することが非常に重要です。

_protocol_自体と、含める必要があるSSL / TLSバージョンについて説明する場合、TLSという用語の方が適切です。



ただし、実際には、セキュリティおよび管理の専門家は次のことを知る必要があります。



•SSL / TLSにはさまざまなバージョンがあります。



•プロトコルが一致しない場合、古いシステムは新しいシステムとデータを交換できません。 新しいコンピューターにWindows 95をインストールするときにInternet ExplorerがHTTPSサイトを開かない理由を疑問に思ったことがあれば、答えはわかりました。



•TLSの新しいバージョン(現在のバージョン番号は1.2)のみを含めることを許可する企業ポリシーを作成する必要があります。



•多くのデバイスおよびアプリケーションは、TLSおよびSSLのレガシーおよび安全でないバージョンを引き続きサポートしています。これらは特に無効にする必要があります。



一般に、「SSLとTLSの違いは何ですか?」という質問は、実用的な点のみを説明し、セキュリティプロトコルのわずかな違いが非常に重要である理由を証明する場合、非常に興味深いものです。



All Articles