Skip to main content

TLS vs. SSL - Er der forskel og hvilken en skal du vælge?

Michael Sønderup Nielsen - Joomla konsulent
Af Michael Sønderup Nielsen
Kategori: Joomla Sikkerhed
Opdateret 3. juni 2020

TLS vs. SSL

Og er det noget, som du bør bekymre dig om?

Det er det nok ikke, men læs videre og få en viden om de vigtigste forskelle mellem TLS og SSL. Du vil også kunne læse om, hvordan begge protokoller opretter forbindelse til HTTPS. Og du vil også finde ud af, om du sandsynligvis ikke behøver at bekymre dig for meget om TLS og/eller SSL, eller om du bruger det ene eller andet type certifikat.

Du kan i nedenstående oversigt komme hurtig ned til det spørgsmål, du har, hvis du ikke lige vil læse hele artiklen.

Hvad er forskellen på SSL og TLS?

Hvordan sikres data'et gennem TLS og SSL?

Hvorfor hedder det et SSL-certifikat og ikke TLS-certifikat?

Hvorfor du skal du ikke bruge SSL men TLS?

Hvad er forskellen på SSL og TLS?

SSL er forkortelsen for Secure Socket Layers og TLS er forkortelsen for Transport Layer Security. Begge protokoller krypterer data og sikrer forbindelse, når du flytter data på Internettet.

Det kunne f.eks. være betalinger i din webshop, hvor TLS og SSL hjælper dig ned at sikre data'et og at ingen kan opsnappe data'et, der sendes via din hjemmeside.

Forskellen mellem TLS og SSL er egentlig ikke så stor.

TLS er "bare" en nyere version af SSL, hvor TLS fikser nogle sårbarheder i SSL-protokollen.

Inden at vi går videre, skal vi lige have en kort historietime.

Februar 1995 blev SSL 2.0 udgivet. Du undre dig måske over, hvorfor ikke en version 1.0. Der var en sikkerhedsfejl SSL 1.0 og blev derfor aldrig offentliggjort. Men SSL 2.0 havde også nogle sikkerhedsmangler og blev erstattet af SSL 3.0 i 1996.

I 1999 udkom TLS 1.0, der var en opgradering til SSL 3.0. Der har været tre TLS-udgivelser siden - seneste TLS 1.3 i august 2018.

Herunder ser du den historiske tidslinie med SSL- og TLS-udgivelser:

  • SSL 1.0 – blev ikke offentliggjort på grund af sikkerhedsproblemer.
  • SSL 2.0 – udgivet i 1995. Udfaset i 2011. Havde flere sikkerhedsproblemer.
  • SSL 3.0 – udgivet i 1996. Udfaset i 2015. Havde også nogle sikkerhedsproblemer.
  • TLS 1.0 – udgivet i 1999 og var en opgradering til SSL 3.0. Den udfases i 2020.
  • TLS 1.1 – udgivet i 2006. Udfases i 2020.
  • TLS 1.2 – udgivet i 2008.
  • TLS 1.3 – udgivet i 2018.

Hvordan sikres data'et gennem TLS og SSL?

Nu kommer vi lidt ind på, hvordan fungerer det egentlig med SSL og TLS i praksis på din hjemmeside.

Et SSL / TLS-certifikat installeres på den server, hvor din hjemmeside ligger. Det er lige meget om din hjemmeside er Joomla eller ej, fordi SSL og TLS er systemuafhængige. Certifikatet indeholder det som man kalder en offentlig nøgle og en privat nøgle, der autentificerer din server og gør at serveren krypterer og dekrypterer data.

Når du har besøgende på din hjemmeside, vil deres browser søge efter din hjemmesides SSL / TLS-certifikat. Derefter laver browseren det som man kalder et “håndtryk”, der kontrollerer gyldigheden af ​​dit certifikat og autentificere din server.

Når browseren har konkluderet at dit certifikat er gyldigt, oprettes der et krypteret link mellem certifikatet og din server for sikkert at transportere data.

Det er også i den forbindelse at HTTPS kommer inde i kampen.

HTTP og den nyere HTTP/2 kaldes applikationsprotokoller, der har en afgørende rolle i overførslen af ​​informationer over internettet.

Med almindelig HTTP, altså HTTP uden S'et,  er informationer sårbare overfor angreb. Når der anvendes HTTPS, krypteres og autentificeres disse data under transport, hvilket gør dem sikre.

Du kan på den måde sikkert behandle betalingskortsoplysningerne via HTTPS i din webshop.

Hvorfor hedder det et SSL-certifikat og ikke TLS-certifikat?

Som nævnt er TLS den nyere version af SSL.

Har du nogensinde tænkt over, hvorfor det kaldes et SSL-certifikat og ikke et TLS-certifikat?

I bund og grund er TLS den moderne sikkerhedsprotokol.

Årsagen til man stadig kalder dem SSL-certifikater bunder mest i et branding-problem. Når du selv de større certifikatudbydere bliver ved med at kalde certifikaterne SSL-certifikater, er det ikke så mærkeligt, at det bliver hængende.

Faktisk er alle “SSL-certifikater” mere præcist SSL/TLS-certifikater, som oftes tilbydes gratis via Let’s Encrypt.

Med andre ord kan du både bruge SSL- og TLS-protokoller på samme certifikat.

Det er ikke enten eller.

Du behøver ikke at bekymre dig om at udskifte dit SSL-certifikat med et TLS-certifikat!

Hvorfor du skal du ikke bruge SSL, men TLS?

SSL udskíftes til fordel for TLS. Det betyder at du skal bruge TLS i stedet for SSL.

SSL udfases primært på grund af kendte sikkerheds-sårbarheder.

TLS er sikker og giver nogle andre ydelsesfordele og forbedringer.

Faktisk er de fleste nyere browsere holdt op med at understøtte SSL 2.0 og SSL 3.0. Google Chrome stoppede med at understøtte SSL 3.0 tilbage i 2014, og de mange af de andre større browsere følger trop i 2020.

I Chrome kan du se denne fejlbesked, hvis den er gal: ERR_SSL_OBSOLETE_VERSION

Hvordan ved du så, at du benytter de nyeste versioner af TLS?

Du skal først lige huske på, at dit certifikat ikke er det samme som den protokol din server bruger. Du behøver derfor ikke at ændre dit certifikat for at bruge TLS. Også selvom det evt. er mærket “SSL-certifikat” understøtter dit certifikat allerede SSL- og TLS-protokoller.

Du styrer i stedet hvilken protokol din hjemmeside benytter på serveren.

De fleste webhoteller har allerede godt styr på TLS.

Men, hvis du gerne vil være sikker, kan du benytte dette værktøj til at kontrollere, hvilke protokoller der aktiveret på din hjemmesiden: https://www.ssllabs.com/ssltest/

 

Joomla SSL Labs - Test dine protokoller

 

Indtast din hjemmesideadresse og vent til at den er helt færdig med at tjekke din hjemmeside.

Når den er færdig scroller du ned på siden ind til du finder noget, der hedder "Configuration".

Her ser du en liste over de SSL- og TLS-certifikater, der er aktive på din server.

joomla ssl protokoller

 

Er du i tvivl, skal du kontakte dit webhotel.

Opsummering

Altså, er TLS og SSL begge protokoller der krypterer og autentificerer overførsel af data på Internettet.

TLS er den mere moderne og sikre version af SSL.

SSL-ydtrykket anvendes stadig på Internettet, men hvor det faktisk er TLS. Spørg dit webhotel, hvis du er usikker.

Både SSL- og TLS-protokoller kræver et certifikat, der installeres eller er installeret på din server.

Og det bedste af det hele er, at du ikke behøver at bekymre dig om at “ændre” dit SSL-certifikat til et TLS-certifikat. Du skal blot undersøge, om dit “SSL-certifikat” også understøtter TLS.

Vil du helst helt slipper for at skulle tjekke og undersøge, så kontakt mig gerne - også hjælper jeg dig.


Hjælp til Joomla?