Transport Layer Security (TLS) adalah versi terbaru dari protokol Secure Socket Layer (SSL). Kedua protokol memastikan privasi dan keaslian data melalui internet. Protokol yang banyak digunakan ini menyediakan keamanan ujung ke ujung dengan menerapkan enkripsi untuk komunikasi berbasis web. Namun, terlepas dari kesamaan TLS dan SSL, mereka juga memiliki perbedaan yang signifikan.

Artikel ini menjelaskan cara kerja protokol enkripsi TLS dan SSL, kepentingannya, perbedaannya, dan mengapa ini saat yang tepat untuk beralih ke protokol TLS.

Latar Belakang Historis TLS dan SSL

Internet Engineering Task Force (IETF), organisasi yang bertanggung jawab untuk mengembangkan standar internet, diterbitkan Permintaan Komentar (RFC-1984), menyadari pentingnya perlindungan data pribadi di internet yang terus berkembang. Netscape Communication Corporation memperkenalkan SSL untuk mengamankan komunikasi web yang mengalami beberapa peningkatan.

Versi SSL 1.0 tidak pernah dirilis karena kelemahan keamanan, dan SSL 2.0 adalah rilis publik pertama oleh Netscape pada tahun 1995. Namun, karena kerentanan dan kelemahan keamanan, SSL digantikan oleh versi 3.0 lainnya pada November 1996. Versi SSL terbaru juga tidak digunakan karena ketidakamanannya terhadap

instagram viewer
Serangan POODLE pada Oktober 2014 dan secara resmi dihentikan pada Juni 2015.

TLS dirilis pada tahun 1999 sebagai protokol aplikasi-independen: upgrade ke SSL versi 3.0 yang dibuat oleh Internet Engineering Task Force (IETF). Idenya adalah untuk mengimplementasikan TLS melalui TCP untuk mengenkripsi aplikasi menggunakan protokol FTP, IMAP, SMTP, dan HTTP. Contohnya, HTTPS adalah versi aman dari HTTP karena menerapkan TLS untuk memastikan pengiriman data yang aman dengan menghindari perubahan konten dan penyadapan.

Kerja Dasar Protokol TLS/SSL

Komunikasi antar pihak (misalnya, browser komputer Anda dan situs web) dimulai dengan mengidentifikasi apakah itu akan memasukkan protokol TLS/SSL atau tidak, sehingga klien dapat menentukan penggunaan enkripsi TLS baik oleh:

  • Menentukan port yang mendukung enkripsi komunikasi SSL, atau
  • Dengan membuat permintaan khusus protokol TLS

Sementara itu, situs web memerlukan sertifikat TLS/SSL diinstal pada server hosting untuk menggunakan protokol. Pihak ketiga tepercaya mengeluarkan sertifikat yang mengikat kunci publik ke domain yang memiliki kunci pribadi dan memungkinkannya untuk mengenkripsi/mendekripsi komunikasi.

Setelah menyetujui penggunaan TLS/SSL untuk komunikasi client-server, ia melanjutkan untuk melakukan jabat tangan. Jabat tangan menetapkan spesifikasi yang diperlukan untuk bertukar pesan. Bagian berikut merangkum rangkaian pertukaran informasi untuk mengaktifkan koneksi TLS/SSL:

  1. Para pihak menyetujui versi protokol yang akan mereka gunakan, lalu
  2. Memutuskan algoritma kriptografi atau rangkaian sandi yang akan digunakan, lalu
  3. Otentikasi pihak yang berkomunikasi dengan kunci publik dan tanda tangan digital mereka dari otoritas sertifikat penerbit, lalu
  4. Pertukaran kunci sesi untuk digunakan selama komunikasi. Baik protokol TLS dan SSL menggunakan kriptografi asimetris untuk menghasilkan kunci bersama (publik) dan pribadi.

Jika browser tidak dapat memvalidasi sertifikat TLS/SSL, browser akan mengembalikan kesalahan "Sambungan tidak Pribadi".

Setelah menetapkan metode dekripsi selama jabat tangan, protokol rekaman menggunakan enkripsi simetris untuk komunikasi untuk seluruh sesi. Selain itu, protokol rekaman juga menambahkan pesan dengan HMAC untuk TLS dan MAC untuk SSL untuk memastikan integritas data.

Oleh karena itu, protokol mencapai tiga tujuan dasar keamanan:

  • Kerahasiaan: Mengenkripsi data untuk menyembunyikannya dari pihak ketiga sehingga hanya penerima yang dituju yang dapat melihat kontennya.
  • Integritas: Menerapkan kode otentikasi pesan untuk memverifikasi konten pesan terenkripsi.
  • Autentikasi: Otentikasi identitas situs web/klien/server dengan bantuan sertifikat untuk memastikan pihak yang bertukar informasi tidak dapat mundur dari identitas mereka.

Apa Perbedaan Antara TLS dan SSL?

Seperti disebutkan sebelumnya, perbedaan utama yang Anda perhatikan antara kedua protokol adalah bagaimana mereka membangun koneksi. Jabat tangan TLS menggunakan cara implisit untuk membuat koneksi melalui protokol, sementara SSL membuat koneksi eksplisit dengan port.

Terlepas dari semua perbedaan lainnya, fitur mendasar yang membedakan kedua koneksi TLS/SSL adalah penggunaan cipher suite yang menentukan keamanan koneksi secara keseluruhan.

Bagian penting dari koneksi TLS/SSL adalah menyepakati rangkaian sandi yang mendefinisikan serangkaian algoritme untuk pertukaran kunci, otentikasi, enkripsi massal, dan kode otentikasi pesan berbasis hash (HMAC) atau algoritma kode otentikasi pesan, dll. untuk sesi tertentu. Setiap versi TLS/SSL mendukung rangkaian cipher suite yang berbeda untuk sesi komunikasi. Oleh karena itu, setiap cipher suite mendukung serangkaian algoritmenya sendiri yang meningkatkan keamanan dan kinerja koneksi secara keseluruhan.

SSL TLS
SSL adalah protokol yang kompleks untuk diterapkan. TLS adalah protokol yang lebih sederhana.
SSL memiliki tiga versi, di mana SSL 3.0 adalah yang terbaru. TLS memiliki empat versi, di mana versi TLS 1.3 adalah yang terbaru
Semua versi protokol SSL rentan terhadap serangan. Protokol TLS menawarkan keamanan yang tinggi.
SSL menggunakan kode otentikasi pesan (MAC) setelah enkripsi pesan untuk integritas data TLS menggunakan kode otentikasi pesan berbasis hash dalam protokol rekamannya.
SSL menggunakan intisari pesan untuk membuat rahasia utama. TLS menggunakan fungsi pseudo-acak untuk membuat rahasia utama.

Mengapa TLS Mengganti SSL?

Enkripsi TLS sekarang menjadi praktik standar untuk mengamankan aplikasi web atau data dalam perjalanan dari penyadapan dan gangguan. Tidak realistis untuk menganggap TLS sebagai protokol paling aman karena rentan terhadap pelanggaran seperti Kejahatan dan Heartbleed pada tahun 2012 dan 2014, tetapi telah menunjukkan banyak peningkatan dalam hal kinerja dan keamanan.

TLS menggantikan SSL, dan hampir semua versi SSL sekarang tidak digunakan lagi karena kerentanannya yang diketahui. Google Chrome adalah salah satu contoh yang berhenti menggunakan versi SSL 3.0 pada tahun 2014, dan sebagian besar browser web modern tidak mendukung SSL sama sekali.

Gunakan TLS Untuk Komunikasi Terenkripsi

TLS membantu mengamankan informasi sensitif saat transit seperti detail kartu kredit, email, voice over IP (VOIP), transfer file, dan kata sandi. Meskipun kedua sertifikat melakukan tugas enkripsi data dalam perjalanan, keduanya berbeda dalam fungsi dan tidak dapat dioperasikan.

Penting untuk dicatat bahwa TLS disebut sebagai SSL hanya karena SSL adalah terminologi yang paling umum digunakan, dan keberadaan sertifikat tidak menjamin penggunaan protokol TLS. Selain itu, Anda tidak perlu khawatir tentang mengubah sertifikat SSL ke TLS karena yang perlu Anda lakukan hanyalah menginstal sertifikat di server karena mendukung kedua protokol dan memutuskan mana yang akan digunakan.

7 Alasan Situs Anda Membutuhkan Sertifikat SSL

Tidak masalah jika Anda mengembangkan blog sederhana atau situs eCommerce lengkap: Anda memerlukan sertifikat SSL. Berikut adalah beberapa alasan praktis mengapa.

Baca Selanjutnya

MembagikanMenciakSurel
Topik-topik terkait
  • Teknologi Dijelaskan
  • Keamanan
  • SSL
  • OpenSSL
  • Keamanan Daring
  • Keamanan Peramban
  • Keamanan data
Tentang Penulis
Rumaisa Niazi (16 Artikel Diterbitkan)

Rumaisa adalah penulis lepas di MUO. Dia telah memakai banyak topi, dari Matematikawan hingga penggemar Keamanan Informasi, dan sekarang bekerja sebagai Analis SOC. Minatnya termasuk membaca dan menulis tentang teknologi baru, distribusi Linux, dan apa pun seputar Keamanan Informasi.

More From Rumaisa Niazi

Berlangganan newsletter kami

Bergabunglah dengan buletin kami untuk kiat teknologi, ulasan, ebook gratis, dan penawaran eksklusif!

Klik di sini untuk berlangganan