Hvad er SSL og TLS?
SSL (Secure Sockets Layer) og TLS (Transport Layer Security) er begge protokoller der anvendes ved kryptering af online kommunikation. Så en standard for hvordan klient og server, skal snakke sammen og finde ud af hvordan de bedst kan sikre og kryptere kommunikationen imellem dem.
Hvis du derimod vil vide, hvad er SSL/TLS certifikater? kan du tage et kig her.
- SSL 1.0 blev droppet inden udgivelsen da den indeholdt tydelige sårbarheder.
- SSL 2.0 blev udgivet i 1995, men sårbarheder blev også hurtigt fundet og den er blokeret i alt i dag.
- SSL 3.0 som var en komplet omskrivning, kom allerede i 1996 og holdt til 2014, hvor POODLE sårbarheden blev udgivet.
Fra 2015 har anbefalingen været at overhovedet ikke anvende SSL 2.0/SSL 3.0, men i stedet TLS, som nærmere er en “SSL 4.0”, end en komplet omskrivning som SSL 3.0 var.
TLS har også flere versioner, hvor hver version er en videreudvikling af tidligere, hvor der tilføjes nye funktioner eller evner, der kan kæmpe imod nye eller potentielle fremtidige sårbarheder, der findes i tidligere protokoller. TLS er også bagudkompatibel, men blokerer med vilje SSL 2.0/3.0.
- TLS 1.0 udgivet 1999
- TLS 1.1 udgivet 2006
- TLS 1.2 udgivet 2008
- TLS 1.3 udgivet i 2018
For servere der kun understøtter ældre TLS versioner, fx TLS 1.0, er det muligt at forhindre sårbarheder ved at ændre på serverkonfigurationen og fx fjerne en brudt krypteringsalgoritme. Det kan altså ikke alene siges ud fra TLS versionen om serveren er usikker, på samme måde som SSL 2.0/SSL3.0.
Kreditkortleverandører, banker og andre med fokus på sikkerhed, giver dog et tydeligt signal om at TLS 1.2 skal anvendes.