SSL versus
Communicatie via netwerken of internet kan erg onveilig worden als de juiste beveiligingsmaatregelen niet aanwezig zijn. Dit kan van cruciaal belang zijn voor toepassingen zoals betalingstransacties op het web, waardoor de klant en de onderneming miljoenen dollars verliezen. Hier komen SSL en HTTPS om de hoek kijken. SSL is een cryptografisch protocol dat wordt gebruikt om de communicatie boven de transportlaag te beveiligen. HTTPS is een combinatie van HTTP en SSL die veilige kanalen kan creëren via onveilige netwerken.
Wat is SSL?
SSL (Secure Socket Layer) is een cryptografisch protocol dat wordt gebruikt om de communicatie via internet te beveiligen. SSL maakt gebruik van asymmetrische cryptografie om de privacy en berichtauthenticatiecodes te behouden om de betrouwbaarheid van alle netwerkverbindingen boven de transportlaag te waarborgen. SSL wordt veel gebruikt voor surfen op het web, e-mailen, faxen via internet, IM (instant messages) en VoIP (Voce-over-IP). SSL is ontwikkeld door Netscape Corporation en is opgevolgd door TLS (Transport Layer Security). SSL 2.0 werd uitgebracht in 1995 (versie 1.0 werd nooit vrijgegeven voor het publiek), en versie 3.0 (een jaarlaag uitgebracht) verving de versie 2.0 (die verschillende belangrijke beveiligingsfouten had). Later werd TLS geïntroduceerd als SSL 3.1. De huidige versie is SSL 3.3, die meestal wordt aangeduid als TLS 1.2. SSL kapselt de applicatielaagprotocollen zoals HTTP, FTP en SMTP in door te worden geïmplementeerd via de transportlaag. Traditioneel wordt het gebruikt met TCP (Transmission Control Protocol) en in mindere mate met UDP (User Datagram Protocol). SSL wordt gebruikt met HTTP om HTTPS te verkrijgen, dat gebruikmaakt van openbare-sleutelcertificaten om eindpunten voor toepassingen zoals e-commerce te identificeren.
Wat is
HTTPS (HTTP Secure) is een protocol dat is gemaakt door HTTP (HyeperText Transfer Protocol) en SSL/TLS-protocollen te combineren. HTTPS biedt veilige communicatie door codering en identificeert eindpunten van de verbindingen, waardoor het ideaal is voor toepassingen zoals betalingstransities op WWW (World Wide Web) of gevoelige transacties in bedrijven. In principe kan HTTPS een beveiligde verbinding tot stand brengen via een onveilig netwerk. Als de gebruikte coderingssuites voldoende zijn en de servercertificaten vertrouwd zijn, zullen deze beveiligde HTTPS-kanalen beschermen tegen afluisteraars en Man-in-the-Middle-aanvallen. Maar zelfs als HTTPS wordt gebruikt, kan de gebruiker alleen garanderen dat het kanaal volledig veilig is als aan alle volgende voorwaarden is voldaan: browser implementeert HTTPS correct met CA's (Certificate Authorities), CA's staan alleen in voor legitieme sites, het certificaat geleverd door de site is geldig, de website is correct geïdentificeerd door het certificaat en ten slotte zijn tussenliggende hops betrouwbaar. Alle moderne browsers waarschuwen gebruikers als ze ongeldige certificaten van de websites ontvangen. Uiteraard krijgt de gebruiker de mogelijkheid om op eigen risico verder te gaan.
Wat is het verschil tussen SSL en
Het belangrijkste verschil tussen SSL en HTTPS is dat SSL een cryptografisch protocol is, terwijl HTTPS een protocol is dat HTTP en SSL combineert. Maar soms wordt HTTPS niet per se geïdentificeerd als een protocol, maar als een mechanisme dat alleen HTTP gebruikt via versleutelde SSL-verbindingen. Met andere woorden, HTTPS gebruikt SSL om een veilige HTTP-verbinding tot stand te brengen. Dankzij de versleuteling van SSL is HTTPS bestand tegen afluisteren en man-in-the-middle-aanvallen.