SSL مقابل TLS: تطور بروتوكولات التشفير

إذا كنت قد قمت بتصفح موقع ويب أو أرسلت رسائل بريد إلكتروني ، فستستفيد من بروتوكولات SSL أو TLS.تؤمن بروتوكولات التشفير هذه نقل البيانات عبر الإنترنت.

دعونا نلقي نظرة على كيفية ظهور هذه البروتوكولات ونتعلم لماذا استحوذت TLS على SSL كمعيار أمان حديث.

ما هو SSL (طبقة مآخذ آمنة)

كان SSL أول بروتوكول تم تبنيه على نطاق واسع لتأمين الاتصالات عبر الإنترنت.تم تقديمه بواسطة Netscape في منتصف التسعينيات لتشفير البيانات بين متصفحات الويب والخوادم ، مما يجعل التفاعلات عبر الإنترنت خاصة وموثوقة.

الإصدارات الرئيسية من SSL:

SSL 1.0 - لم يتم إصداره علنًا

كانت SSL 1.0 هي المحاولة الأولى لإنشاء بروتوكول آمن لتشفير الاتصالات عبر الإنترنت.لم يتم إصداره رسميًا أبدًا بسبب عيوب أمنية كبيرة جعلتها عرضة لخرقات البيانات.أدرك المطورون بسرعة نقاط الضعف هذه وانتقلوا إلى SSL 2.0 مع تحسينات.

SSL 2.0 (1995) - النسخة العامة الأولى ، ولكن معيب للغاية

كان SSL 2.0 هو الإصدار الأول المتاح للاستخدام العام ، حيث قدم التشفير الأساسي لتأمين التفاعلات عبر الإنترنت.ومع ذلك ، كان لديها نقاط الضعف الأمنية الخطيرة ، مثل خوارزميات التشفير الضعيفة وعدم القدرة على مصادقة الاتصالات بشكل صحيح.

جعلت هذه العيوب عرضة للهجمات ، بما في ذلك الهجمات في الوسط ، حيث يمكن للمهاجمين اعتراض البيانات وتعديلها في العبور.بسبب نقاط الضعف هذه ، تم إهمال SSL 2.0 رسميًا في عام 2011.

SSL 3.0 (1996) - تحسين الأمن ولكنه لا يزال ضعيفًا

تم إصدار SSL 3.0 لمعالجة عيوب الأمن الرئيسية في SSL 2.0.قدمت أساليب تشفير أقوى وإجراءات مصافحة محسنة ، مما يجعل التواصل الآمن أكثر موثوقية.

ومع ذلك ، لا يزال لديه نقاط ضعف في التصميم التي تركتها عرضة للهجمات الإلكترونية الحديثة.على وجه الخصوص ، كشف هجوم Poodle (Padding Oracle على تشفير Legacy Laterged) ، الذي تم اكتشافه في عام 2014 ، عن عيب أساسي في SSL 3.0 ، مما يسمح للمهاجمين بفك تشفير البيانات المشفرة.ونتيجة لذلك ، تم إهمال SSL 3.0 رسميًا في عام 2015 ، مما يمثل نهاية SSL كبروتوكول أمان قابل للتطبيق.

ما هو TLS (أمان طبقة النقل)

تم تطوير TLS من قبل فرقة عمل هندسة الإنترنت (IETF) كخليفة لـ SSL ، المصممة لتحسين التشفير والأمان والأداء.تم تقديمه لأول مرة في عام 1999 مع TLS 1.0 ، والذي استند إلى SSL 3.0 ولكنه تناول العديد من نقاط الضعف.بمرور الوقت ، استبدلت الإصدارات الأحدث من TLS SSL بالكامل ، مع إهمال SSL 3.0 رسميًا في عام 2015.

الإصدارات الرئيسية من TLS:

TLS 1.0 (1999) - خطوة إلى الأمام ولكن الآن تم إهمالها

تم تقديم TLS 1.0 كخلف رسمي لـ SSL ، المصمم لمعالجة نقاط الضعف مع الحفاظ على التوافق مع SSL 3.0.قام بتحسين أمان التشفير وقدم الدعم لخوارزميات تشفير أقوى.

ومع ذلك ، مع مرور الوقت ، تم اكتشاف نقاط الضعف في TLS 1.0 ، بما في ذلك القابلية للهجمات مثل الوحش (استغلال المتصفح ضد SSL/TLS) ، مما قد يسمح للمهاجمين بفك تشفير البيانات الحساسة.بسبب هذه المخاطر ، بدأت المتصفحات والمنظمات الرئيسية في التخلص التدريجي من TLS 1.0 ، وتم إهمالها رسميًا في عام 2020.

TLS 1.1 (2006) - تحسينات تدريجية ، ولكن أيضا عفا عليها الزمن

تم بناء TLS 1.1 على TLS 1.0 عن طريق إضافة دفاعات ضد الهجمات المعروفة ، بما في ذلك تحسين الحماية ضد هجمات أوراكل الحشو.كما قدم دعمًا لخوارزميات التشفير الأحدث وإزالة الاعتماد على طرق التشفير القديمة.

على الرغم من هذه التحسينات ، لم يكتسب TLS 1.1 اعتمادًا واسع النطاق ، حيث انتقلت معظم الأنظمة مباشرة من TLS 1.0 إلى TLS 1.2.مثل سابقتها ، تم إهمال TLS 1.1 رسميًا في عام 2020 بسبب المخاوف الأمنية وتوافر بدائل أقوى.

TLS 1.2 (2008) - لا يزال آمنًا واستخدامًا على نطاق واسع

لا يزال TLS 1.2 أحد بروتوكولات التشفير الأكثر استخدامًا اليوم.قدمت تحسينات أمنية كبيرة ، بما في ذلك دعم أجنحة التشفير المتقدمة ، وطرق المصادقة المحسنة ، والقدرة على استخدام تشفير AEAD (التشفير المصادق مع البيانات المرتبطة) ، مما يساعد على حماية البيانات من العبث.

قام TLS 1.2 بإزالة وظائف التشفير الأضعف التي كانت موجودة في الإصدارات السابقة.على الرغم من أن TLS 1.3 هو المعيار الموصى به الآن ، إلا أن TLS 1.2 لا يزال يعتبر آمنًا ويستمر استخدامه عبر العديد من مواقع الويب والتطبيقات والخدمات عبر الإنترنت.

TLS 1.3 (2018) - الإصدار الأكثر أمانًا وكفاءة

TLS 1.3 هو أحدث إصدار من البروتوكول ويوفر تحسينات كبيرة في كل من الأمان والأداء.إنه يزيل خوارزميات التشفير القديمة ، ويبسط عملية المصافحة لأوقات اتصال أسرع ، ويعزز السرية الأمامية ، مع الحفاظ على آمنة الاتصالات السابقة حتى إذا تم اختراق مفاتيح التشفير.

يعد TLS 1.3 الآن البروتوكول المفضل لتأمين اتصالات الإنترنت ، مع المتصفحات الرئيسية ومقدمي الخدمات السحابية والشركات التي يتبناها كمعيار للصناعة.

أوجه التشابه بين SSL و TLS

على الرغم من أن TLS قد حل محل SSL ، فإن كلا البروتوكولات تخدم نفس الغرض الأساسي: لحماية البيانات أثناء الإرسال.

• تشفير البيانات - كلاهما تشفير البيانات لمنع الوصول غير المصرح به.
  
• استخدام الشهادات - تستخدم مواقع الويب شهادات SSL/TLS للتحقق من هويتها.
  
• المفاتيح العامة والخاصة - يعتمد كلاهما على التشفير غير المتماثل للتشفير الآمن.
  
• عملية المصافحة - SSL و TLS يصادفون الخادم (وأحيانًا العميل) قبل بدء الاتصال الآمن.
  
• منع العبث البيانات - يتضمن كلاهما فحص النزاهة للكشف عن التغييرات غير المصرح بها على البيانات.

الاختلافات الرئيسية بين SSL و TLS

في حين أن SSL و TLS يخدمان نفس الغرض - استخلاص الاتصالات عبر الإنترنت - تم تطوير TLS لمعالجة نقاط الضعف في SSL.

تحسينات الأمن

تم تصميم SSL لتشفير البيانات والحفاظ على الاتصالات الخاصة عبر الإنترنت.ومع ذلك ، فقد اعتمد على أساليب التشفير الأضعف ، مما يجعلها عرضة للهجمات مثل Poodle والغرق.

تم تحسين TLS على SSL من خلال إدخال خوارزميات تشفير أقوى ، وطرق المصادقة الأفضل ، والقضاء على ميزات الأمان القديمة.هذه التحديثات تجعل من الصعب على المهاجمين اعتراض أو العبث بالبيانات.

الأداء والكفاءة

كانت مصافحة SSL أكثر تعقيدًا ، والتي تتطلب جولات اتصال متعددة بين العميل والخادم قبل أن يتم تأسيس التشفير بالكامل.هذا الكمون المضافة وتباطؤ الاتصالات الآمنة.

قدمت TLS مصافحة أكثر تبسيطًا ، مما يقلل من عدد الخطوات المعنية.قام TLS 1.3 بتبسيط هذه العملية أكثر ، مما يحسن السرعة والأمان.

أجنحة التشفير وقوة التشفير

اعتمدت SSL على أجنحة الشفرات القديمة التي تعتبر الآن عفا عليها الزمن ، مثل RC4 والتطبيقات الأضعف لتشفير RSA.تركت هذه الطرق الاتصالات المشفرة عرضة للهجمات الحديثة.

استبدلها TLS بأجنحة تشفير أقوى ، بما في ذلك التشفير القائم على AES والمنحنى الإهليلجي Diffie-Hellman (ECDH) ، مما يوفر طريقة أكثر أمانًا لتشفير البيانات.

تنبيهات

في SSL ، تم استخدام رسائل التنبيه لإخطار العميل أو الخادم بالأخطاء أو مشكلات الأمان ، لكنها لم تكن دائمًا مفصلة بما يكفي للمساعدة في تشخيص المشكلات.

قامت TLS بتحسين هذا النظام من خلال توفير تنبيهات أكثر تحديداً ومنظمة ، مما يسهل تحديد مشكلات الأمان وإصلاحه.بالإضافة إلى ذلك ، أزال TLS 1.3 رسائل تنبيه قديمة وغير ضرورية لزيادة تعزيز الأمن.

مصادقة الرسالة

استخدمت SSL طريقة تسمى رمز مصادقة الرسالة (MAC) بعد التشفير ، والتي تركت بعض البيانات المعرضة لهجمات محتملة.هذا جعل من الممكن للمهاجمين التلاعب بالرسائل المشفرة في ظل ظروف معينة.

قدمت TLS التشفير المصادق مع البيانات المرتبطة (AEAD) ، والتي تشفر وتصديق البيانات في خطوة واحدة.يوفر هذا النهج حماية أفضل ضد الهجمات مع العبث وتكامل البيانات.

كيف ترتبط SSL/TLS بـ HTTPS

ربما لاحظت أن مواقع الويب الآمنة تبدأ بـ HTTPS بدلاً من HTTP."S" في HTTPS تعني الآمنة ، ويتم توفير هذا الأمن بواسطة SSL أو TLS.

كيف تعمل:

• عند زيارة موقع ويب باستخدام HTTPS ، يقوم متصفحك والخادم بإجراء مصافحة SSL/TLS لإنشاء اتصال آمن مشفر.
  
• هذا يمنع المهاجمين من اعتراض أو العبث بالبيانات المرسلة بين متصفحك وموقع الويب.
  
• تستخدم مواقع HTTPS شهادات SSL/TLS من سلطات الشهادة الموثوقة (CAS) للتحقق.
  
  

على الرغم من أن SSL لم يعد قيد الاستخدام ، إلا أن العديد من الأشخاص ما زالوا يسمونهم "شهادات SSL" ، عندما تستخدم مواقع الويب اليوم TLS للأمان.

كيفية التحقق مما إذا كان موقع الويب يستخدم TLS

ما يقرب من 90 ٪ من جميع مواقع الويب تستخدم HTTPS لأنها طريقة شبه مؤكدة لحماية البيانات ، وتوفير راحة البال للمستخدمين ، وإشارة التصنيف الرئيسية لمحركات البحث.

للتحقق مما إذا كان موقع الويب يستخدم TLS:

• داخل شريط عناوين المتصفح ، انقر على الرمز في الجانب الأيسر.هناك سترى قفل يتيح لك معرفة ما إذا كان الاتصال آمنًا.يمكنك النقر فوق هذا القفل لعرض معلومات الشهادة وتأكيد استخدام TLS.

لماذا SSL عفا عليها الزمن

تم التخلص التدريجي من SSL بسبب العديد من نقاط الضعف الأمنية.سمحت هذه الثغرات الأمنية للمهاجمين باعتراض أو فك تشفير البيانات المشفرة ، مما يعرض المعلومات الحساسة للخطر.فيما يلي بعض الهجمات الرئيسية التي ساهمت في إهمال SSL:

هجوم الوحش (2011) - استغلال SSL 3.0 و TLS 1.0

استغل الوحش (استغلال المتصفح ضد SSL/TLS) ثغرة في SSL 3.0 و TLS 1.0 تشفير كتلة التشفير (CBC).يمكن للمهاجمين استخدام هذا الضعف لفك تشفير البيانات المشفرة من خلال اعتراض ومعالجة التواصل بين متصفح المستخدم وموقع الويب.كان هذا خطيرًا بشكل خاص على الخدمات المصرفية عبر الإنترنت والبريد الإلكتروني والمعاملات الآمنة الأخرى.

للدفاع ضد الوحش ، اعتمدت متصفحات الويب والخوادم طرق تشفير أحدث ، ولكن بقيت نقاط الضعف الأساسية في SSL 3.0 و TLS 1.0.تسارع هذا الهجوم إلى الانتقال إلى TLS 1.2 ، مما أدى إلى القضاء على الضعف.

Poodle Attack (2014) - خفض الأمن إلى SSL 3.0

استغل هجوم Poodle (Padding Oracle على التشفير القديم الذي تم تخفيضه) عيبًا في نظام الحشو SSL 3.0.قامت الهجوم بخداع متصفحات الويب إلى خفض مستوى اتصال TLS آمن ببروتوكول SSL 3.0 الذي عفا عليه الزمن.نظرًا لأن SSL 3.0 كان لديه نقاط ضعف ، يمكن للمهاجمين فك تشفير البيانات المشفرة وسرقة المعلومات الحساسة مثل بيانات اعتماد تسجيل الدخول أو تفاصيل الدفع.

للتخفيف من Poodle ، تعطل متصفحات الويب والخوادم SSL 3.0 تمامًا ، مما يجبر الاتصالات على استخدام إصدارات TLS أكثر أمانًا.لعب هذا الهجوم دورًا رئيسيًا في الإهمال النهائي لـ SSL 3.0.

هجوم الغرق (2016) - كسر التشفير على الخوادم التي تدعم SSLV2

هجوم الغرق (فك تشفير RSA مع تشفير قديم وضعف) الخوادم المستهدفة التي لا تزال تدعم SSLV2 ، حتى لو كانت تستخدم في المقام الأول TLS للتشفير.نظرًا لأن SSLV2 كان لديه عيوب أمنية شديدة ، يمكن للمهاجمين استغلال نقاط ضعفه لفك تشفير اتصالات TLS الحديثة التي استخدمت نفس مفتاح RSA.هذا يعني أنه حتى مواقع الويب التي تشغل إصدارات TLS آمنة يمكن أن تتعرض للخطر إذا سمحت بوصلات SSLV2.

لمنع هجمات الغرق ، كان على المواقع تعطيل SSLV2 و SSLV3 بالكامل على خوادمهما.عزز هذا الهجوم أهمية إزالة بروتوكولات الأمان القديمة لحماية الاتصالات المشفرة.

لماذا TLS 1.3 هو الخيار الأفضل اليوم

TLS 1.3 هو الإصدار الأحدث والآمن والفعال لثلاثة أسباب أساسية:

• أمن أقوى - يزيل خوارزميات التشفير القديمة ، مما يقلل من مخاطر الهجوم.
  
• أداء أسرع - يقلل من وقت المصافحة ، مما يجعل الاتصالات المشفرة بشكل أسرع.
  
• سرية مثالية إلى الأمام - يحتفظ بالاتصالات السابقة محمية حتى لو تم اختراق مفاتيح التشفير.