В чём разница между SSL и TLS

1️⃣ Как кратко ответить

SSL (Secure Sockets Layer) и TLS (Transport Layer Security) — это криптографические протоколы, обеспечивающие безопасность передачи данных в сети. TLS является преемником SSL и предлагает улучшенные механизмы безопасности. Основные различия заключаются в более надежных алгоритмах шифрования и улучшенной процедуре установления соединения в TLS.

2️⃣ Подробное объяснение темы

SSL и TLS — это протоколы, которые обеспечивают безопасную передачу данных между клиентом и сервером в сети. Они используются для защиты данных от перехвата и изменения злоумышленниками. Эти протоколы особенно важны для веб-сайтов, обрабатывающих конфиденциальную информацию, такую как пароли и данные кредитных карт.

SSL (Secure Sockets Layer):

• SSL был разработан компанией Netscape в середине 1990-х годов.
• Основная задача SSL — обеспечить конфиденциальность и целостность данных, передаваемых между клиентом и сервером.
• SSL использует комбинацию симметричного и асимметричного шифрования для защиты данных.
• Протокол SSL имеет несколько версий, начиная с SSL 1.0, который никогда не был выпущен, и заканчивая SSL 3.0.

TLS (Transport Layer Security):

• TLS был разработан как преемник SSL для устранения уязвимостей и улучшения безопасности.
• Первая версия TLS (TLS 1.0) была выпущена в 1999 году.
• TLS использует более современные и безопасные алгоритмы шифрования по сравнению с SSL.
• TLS также улучшает процедуру установления соединения, что делает его более устойчивым к атакам.

Основные различия между SSL и TLS:

1. Алгоритмы шифрования:

   • TLS поддерживает более современные и безопасные алгоритмы шифрования, такие как AES (Advanced Encryption Standard), в отличие от SSL, который использует менее безопасные алгоритмы, такие как RC4.

2. Процедура установления соединения:

   • В TLS процедура установления соединения (handshake) была улучшена для предотвращения атак, таких как атака на понижение версии (downgrade attack).

3. Расширения и возможности:

   • TLS поддерживает расширения, которые позволяют добавлять новые функции без изменения основного протокола. Это делает TLS более гибким и адаптируемым к новым требованиям безопасности.

Пример использования TLS:

import ssl
import socket
​
# Создаем контекст SSL/TLS
context = ssl.create_default_context()
​
# Устанавливаем соединение с сервером
with socket.create_connection(('www.example.com', 443)) as sock:
    # Оборачиваем сокет в SSL/TLS
    with context.wrap_socket(sock, server_hostname='www.example.com') as ssock:
        # Отправляем HTTP-запрос
        ssock.sendall(b"GET / HTTP/1.1\r\nHost: www.example.com\r\n\r\n")
        # Получаем ответ
        data = ssock.recv(1024)
        print(data.decode('utf-8'))

• import ssl и import socket: Импортируем модули для работы с SSL/TLS и сокетами.
• context = ssl.create_default_context(): Создаем контекст SSL/TLS, который содержит настройки безопасности по умолчанию.
• socket.create_connection(('www.example.com', 443)): Устанавливаем TCP-соединение с сервером на порту 443 (порт HTTPS).
• context.wrap_socket(sock, server_hostname='www.example.com'): Оборачиваем сокет в SSL/TLS, указывая имя хоста для проверки сертификата.
• ssock.sendall(...): Отправляем HTTP-запрос через защищенное соединение.
• ssock.recv(1024): Получаем ответ от сервера и декодируем его для отображения.

TLS и SSL играют ключевую роль в обеспечении безопасности в интернете, и понимание их различий важно для специалистов по качеству, чтобы гарантировать, что приложения используют современные и безопасные протоколы.