میلاد صدری
میلاد صدری
خواندن ۵ دقیقه·۴ سال پیش

چه تفاوتی بین TLS ،SSL و HTTPS وجود داره؟! داستان یک تولد!

احتمالاً تا حالا بارها با اصطلاحات SSL، HTTPS و TLS مواجه شدید و هربار هم از خودتون پرسیدید که اصلاً هر کدوم از این‌ها چی هستن و چه تفاوتی باهم دارن. همونطور که می‌دونیم در دنیای ارتباطات در هر لحظه و ثانیه داده‌های زیادی در قالب‌های مختلف متن، فایل، صوت، تصویر و ... از طریق پروتکل‌های مختلف ارتباطی از جمله SMTP، FTP، HTTP و ... در حال جابه‌جا شدنه.

انتقال داده‌ها از بستر این پروتکل‌ها خطر شنود اطلاعات در مسیر(On-path Attacks)، جعل دامنه(Domain Spoofing) و حتی تغییر داده‌ها رو هم با خودش به همراه داشت و از اونجا بود که از همون اوایل نیاز به تأمین امنیت انتقال داده‌ها احساس شد. باید راهی می‌بود تا انتقال داده‌ها در یک بستر امن صورت بگیره که اگر اون وسطای راه کسی گوش وایساده بود که بفهمه چه اطلاعاتی داره رد و بدل میشه بی‌نصیب بمونه و دست از پا درازتر برگرده همون جایی که بوده!

اینجوری بود که شرکت نت‌اسکیپ(Netscape) دست به کار شد و در سال ۱۹۹۴ پروتکل SSL رو معرفی کرد. SSL مخفف Secure Sockets Layer و به معنای لایه‌ی سوکت‌های امنه و یه پروتکله که مسئولیت رمزنگاری و ایمن‌سازی ارتباطات رو بر عهده داره. نت‌اسکیپ یک سال بعد در سال ۱۹۹۵ نسخه‌ی دوم پروتکل SSL یعنی SSL 2.0 رو همراه با مرورگر Netscape Web 1.1 منتشر کرد. حالا ممکنه بپرسید چرا نسخه‌ی دو؟؟! پس SSL 1.0 چی شد؟ راستش نسخه‌ی یک هیچ‌وقت منتشر نشد و دلیلش هم وجود اشکالات فراوان امنیتی بود؛ در واقع خود نت‌اسکیپ از خیر انتشارش گذشت و عطاش رو به لقاش بخشید!

اما SSL 2.0 هم بی‌نقص نبود و مشکلات بزرگ امنیتی دیگه‌ای داشت؛ به همین دلیل در نوامبر ۱۹۹۶ نت‌اسکیپ با رفع اون مشکلات، SSL 3.0 رو راهی دنیای ارتباطات کرد. در همین زمان هم رفته‌رفته اینترنت رشد بیشتری می‌کرد و شرکت‌های بزرگ دنیا از جمله نت‌اسکیپ و مایکروسافت در حال رقابت برای کسب سهم بیشتری از بازار مرورگرها بودن که به جنگ مرورگرها(Browser Wars) هم معروفه. با توسعه‌ی مرورگرهای مختلف نیاز به یک پروتکل استاندارد بیشتر احساس می‌شد تا اینکه نت‌اسکیپ در سال ۱۹۹۹ امتیاز و کنترل SSL رو به کارگروه مهندسی اینترنت (IETF) سپرد.

در اواخر همون سال، IETF با اعمال برخی به‌روزرسانی‌ها روی SSL 3.0، یه نسخه‌ی جدید از این پروتکل رو منتشر کرد و نام اون رو هم به TLS که مخفف Transport Layer Security یا همون امنیت لایه‌ی انتقاله تغییر داد و با انتشار TLS 1.0 که در واقع SSL 3.1 بود اولین نسخه از TLS رو ارائه داد. این تغییر نام سرآغازی بود برای ایجاد یک سرگردانی تا به امروز! به همین دلیل این دو پروتکل اغلب در کنار هم و به صورت SSL/TLS نوشته میشن.

در آپریل ۲۰۰۶، IETF با انجام برخی تغییرات جزئی، TLS 1.1 و حدود ۲ سال بعد از اون هم یعنی در آگوست ۲۰۰۸، TLS 1.2 رو منتشر کرد. سه سال بعد از اون در سال ۲۰۱۱، IETF اعلام کرد که SSL 2.0 منسوخ شده! اما نکته‌ی جالب اینه که مرورگرها تازه از سال ۲۰۱۳ خودشون رو با TLS 1.2 سازگار کردن! نهایتاً دو سال بعد، در ژوئن ۲۰۱۵، IETF نسخه‌ی سوم SSL یعنی SSL 3.0 رو هم منسوخ اعلام کرد.

نسخه‌ی فعلی و آخرین نسخه از TLS یعنی TLS 1.3 در آگوست ۲۰۱۸ توسط IETF منتشر شد. جالبه بدونید که این نسخه از TLS بعد از گذشت ۱۰ سال از نسخه‌ی قبلی منتشر شد که باعث شد با بهبودهای زیادی همراه باشه و با حذف برخی از الگوریتم‌های رمزنگاری قدیمی از جمله SHA-1 و MD5 بسیاری از ضعف‌های نسخه‌ی قبلی رو برطرف کنه و امنیت بالایی رو به همراه بیاره. هم‌اکنون تمامی مرورگرهای معروف از TLS 1.3 پشتیبانی می‌کنن که از طریق این سایت می‌تونید پشتیبانی مرورگرتون از TLS 1.3 رو بررسی کنید.

امروزه پروتکل‌های ارتباطی مختلف از SSL/TLS برای رمزنگاری داده‌ها استفاده می‌کنن. مثلاً پروتکل‌های HTTPS و FTPS در واقع همون پروتکل‌های HTTP و FTP هستن که داده‌های ارسالی رو توسط SSL/TLS رمزنگاری می‌کنن.

اما SSL/TLS چجوری از داده‌ها محافظت می‌کنه؟

اگر خیلی ساده بخوام بگم، این کار توسط یک جفت کلید انجام می‌شه که بهشون کلیدهای عمومی(Public Key) و خصوصی(Private Key) گفته میشه. رمزنگاری با این دوتا کلید اینجوریه که به طور مثال عبارت Hello قبل از اینکه به سرور فرستاده بشه توسط مرورگر شما و با استفاده از کلید عمومی، رمزنگاری(Encrypt) شده و به یه عبارت نامفهوم مثل 09vpllUKPO9E تبدیل میشه و در نهایت این عبارت نامفهوم به سرور ارسال میشه. در سرور، همین عبارت نامفهوم، این بار توسط کلید خصوصی رمزگشایی(Decrypt) میشه و به همون Hello تبدیل میشه. این فرآیند هم کاملاً دوطرفه است به این مفهوم که اطلاعات با هر کدوم از کلیدهای عمومی و یا خصوصی رمزنگاری بشن با کلید دیگه میشه اون رو رمزگشایی کرد. البته کلاینت و سرور داده‌هاشون رو مستقیماً با این دوتا کلید رمزنگاری نمی‌کنن بلکه با استفاده از این دوتا کلید و طی یه فرآیندی موسوم به SSL Handshake یه کلید دیگه به نام Session Key ایجاد می‌کنن و از اون برای رمزنگاری و رمزگشایی اطلاعات استفاده می‌کنن. بنابراین تنها شما و سرور به داده‌ی اصلی دسترسی دارید و اگر بین راه کسی شنود اطلاعاتی هم انجام بده تنها با تعداد زیادی از عبارات نامفهوم مواجه می‌شه و متوجه‌ی اطلاعات اصلی نمی‌شه. این رو هم بگم که کلید عمومی، مشخصات وب‌سایت و یه سری اطلاعات دیگه توسط یه فایل به نام SSL Certificate روی سرور نصب میشن.

ذکر این نکته هم ضروریه که کلید خصوصی فقط در اختیار سروره و هربار که شما سایتی که از SSL/TLS پشتیبانی می‌کنه رو در مرورگرتون باز می‌کنید، مرورگر شما ابتدا به سرور اون وب‌سایت متصل می‌شه و کلید عمومی رو از سرور دریافت می‌کنه که همونطور که اشاره کردم به این فرآیند ابتدایی رفت و برگشتی بین مرورگر و سرور اصطلاحاً SSL Handshake گفته می‌شه. در این مقاله با عنوان «پروتکل SSL/TLS چجوری کار می‌کنه و چطور یه ارتباط HTTPS رو امن می‌کنه؟ هفت خان SSL Handshake!» خیلی مفصل‌تر در مورد SSL Handshake صحبت کردم و نوشتم که چه مراحلی باید طی بشه تا کلاینت و سرور یه ارتباط امن رو باهم شکل بدن.

ssltlshttps
یه برنامه‌نویس و دواپس که مکانیک خونده و به تاریخ، فلسفه و کیهان‌شناسی هم علاقه داره! https://www.linkedin.com/in/milad-sadri
شاید از این پست‌ها خوشتان بیاید