SSL vs. TLS – en introduktion

Du er sikkert stødt på begrebet SSL (Secure Socket Layer) i forbindelse med et certifikat på en hjemmeside, du har besøgt. Men hvad er et SSL-certifikat, og hvad går TSL (Transport Layer Security) egentlig ud på? Der er for begges vedkommende tale om kryptografiske protokoller, som krypterer og godkender data, der overføres fra en klient (der passende kunne være din enhed, som anmoder om en hjemmeside) til en server, maskine eller et program.

Selvom begge begreber bruges i flæng, er der tale om to forskellige krypterings-protokoller. SSL var den første protokol på markedet i 1959 og blev siden forfinet med flere opdaterede versioner. SSL fungerede dog aldrig helt optimalt, hvorfor TLS-protokollen blev lanceret i 1999. Langt de fleste enheder og browsere er nu rykket over på TLS v1.2, men i daglig tale refererer almindelige mennesker stadig til SSL, selvom der faktisk de fleste steder er tale om TLS.

SSL/TLS er stærkt forbundet med http, og det er netop de to protokoller, som føjer det vigtige S (S for Sikkerhed) til HTTP. HTTP er en forkortelse for Hypertext Transfer Protocol og er en applikationsprotokol, som overfører data fra en web-browser til en web-server. Med andre ord er det HTTP, der videregiver søgeresultaterne til din browser.

HTTP leverer dog ikke nogen form for sikkerhed. At sende via HTTP svarer til at sende et brev uden kuvert, hvor alt skrevet indhold er tilgængeligt og læsbart for enhver. HTTP er derfor sårbar overfor man-in-the-middle-attack, hvilket betyder, at enhver, der spionerer eller snager online, vil kunne opsnappe dine personfølsomme oplysninger og bankinformation.

Af den simple årsag blev HTTPS introduceret. Det er en kombination mellem HTTP, som leverer selve den tekniske del af dataoverførslen, og SSL/TLS, som bibringer sikkerheden i form af kryptering. Ved brug af SSL og TLS kryptering kan de førnævnte cyber-snyltere ikke længere opsnappe din data, da den er kodet og ulæselig. I dag benytter langt de fleste hjemmesider sig derfor af HTTPS – naturligvis også NordVPN, bare tjek adressebjælken!

SSL/TLS-kryptering kan opdeles i to niveauer: TLS/SSL handshake og SSL/TLS record layer. Lad os dykke yderligere ned i disse begreber.

Et SSL/TLS handshake kan betragtes som en form for kommunikation mellem en klient og en server, hvori de to elementer vil afgøre hvilken protokol-version, der skal benyttes for den kommende kommunikation/udveksling. Men hvordan tager et TLS handshake sig så ud i praksis?

1. Klienten udsender en indledende ‘hello’ anmodning til en web-server, som den gerne vil kommunikere med. Det omfatter krypterings-algoritmer, som klienten kan understøtte.
2. Serveren sender så en ‘hello’ anmodning tilbage sammen med dens SSL certifikat og dens offentlige nøgle. Både klienten og serveren gør her brug af såkaldt asymmetrisk kryptografi for at udveksle sikre beskeder. Det betyder i praksis, at klienten skal bruge serverens offentlige nøgle for at kunne kryptere beskederne, mens serveren har brug for to nøgler – en privat og en offentlig nøgle – for at kunne dekryptere dem. Ingen udenforstående kan derfor snage i beskederne.
3. Klienten gør derefter brug af serverens offentlige nøgle for at skabe en såkaldt pre-master secret og sender derefter denne til serveren. Dette vil så blive benyttet til at skabe sessionsnøgler, som øger kommunikationen til symmetrisk kryptografi. Både klient og server vil nu udelukkende kun gøre brug af private nøgler, og den symmetriske kryptografi vil øge kommunikationens hastighed og gøre brug af færre ressourcer.
4. Serveren dekrypterer pre-master og bruger denne til at oprette en symmetrisk nøgle, og udveksler så denne med klienten. Når den symmetriske kryptografi er etableret, kan klient og server nu udveksle krypteret data. Sikkerheden på hjemmeside-trafikken er dermed etableret.

SSL/TLS record layer er dér, hvor selve krypteringen finder sted. Dataene sendes krypteret fra brugerens applikation. Herefter sendes den videre til netværkets transport layer, som bestemmer hvordan dataene skal sendes til dens modtager-enhed.

Hjemmesider, som understøtter TLS, har SSL-certifikater, selvom det nu engang ville være mere retvisende at kalde dem TLS/SSL-certifikater. De fås fra webhosting-platforme og skal bruges under processen med det førnævnte SSL/TLS handshake som verificering af, at de rent faktisk kan yde sikre forbindelser.

Protokoller skal dog ikke forveksles med certifikater. Den benyttede protokol, SSL eller TSL, udvælges af din browser og modtager-serverens konfigurationer, ikke af hjemmesidens certifikat. Det er muligt at oprette forbindelse til en hjemmeside som har HTTPS, men benytter sig af en forældet SSL v3.0 protokol.

Sådanne forbindelser vil være sårbare overfor angreb. Men nye browsere vil dog give dig en notifikation om dette i selve adressebjælken. Hold blot øje med det lukkede grønne hængelås-ikon og HTTPS-symbolet. Hvis du er bekymret for, om du skaber forbindelse til en hjemmeside, som kun understøtter SSL v3.0, så kan du altid slå SSL-forbindelserne fra manuelt. Det kan dog skabe forstyrrelser i forbindelsen.