TLS против SSL: какой протокол следует использовать?

Если вы владелец веб-сайта, вы, вероятно, хотите знать, как сделать свой сайт максимально безопасным. Защита вашего веб-сайта и его преобразование в HTTPS должны быть приоритетом. Вы, вероятно, слышали два термина, которые необходимы для достижения цели: TLS и SSL. Что они имеют в виду? Один лучше другого? Что вы должны использовать, чтобы иметь самый безопасный веб-сайт, который вы можете?

Давайте разберем различия и сходства между протоколами и рассмотрим, что вы должны делать для защиты своего веб-сайта.

Что такое SSL и TLS?

Secure Sockets Layer (SSL) и Transport Layer Security (TLS) — это протоколы безопасности, которые помогают защитить данные и сделать ваш веб-сайт более безопасным для конечного пользователя. Оба протокола обеспечивают сквозное шифрование между сайтом и устройством пользователя. Это вызывает доверие как у пользователей, так и у поисковых систем. Независимо от того, используете ли вы TLS или SSL для защиты своего сайта, вы защищаете свои собственные данные и (что, возможно, более важно) данные ваших пользователей от потенциального взлома или злонамеренной деятельности.

Владельцы веб-сайтов получают сертификаты TLS и SSL, чтобы преобразовать веб-сайт с HTTP (протокол передачи гипертекста) в HTTPS (защищенный протокол передачи гипертекста). Когда веб-сайт защищен, он отображает значок безопасного замка в адресной строке браузера пользователя. Наличие сертификата безопасности для вашего веб-сайта сообщает браузерам, что доступ пользователя безопасен, давая пользователю уверенность в том, что его информация в безопасности.

Каждому веб-сайту нужен сертификат TLS или SSL. Это помогает в поисковых рейтингах, а также защищает от хакеров и других компрометирующих ситуаций. Но это особенно важно, если вы используете свой веб-сайт для обработки платежной информации или хранения конфиденциальных записей. Это всего лишь одна часть вашей головоломки для полной, закрытой безопасности сайта, но она очень важна.

В чем разница между TLS и SSL?

С точки зрения результатов, TLS и SSL предлагают одно и то же: зашифрованную безопасность для вашего сайта . Вы, вероятно, слышали, что термины используются взаимозаменяемо в отношении сертификатов. Хотя технически TLS и SSL — это не одно и то же. Оба протокола используют процесс, называемый рукопожатием, для инициирования зашифрованного соединения. По сути, две машины запрашивают идентификатор другого, и когда он подтверждается, они могут вести дела.

На этом технические сходства заканчиваются. Каждый криптографический протокол работает по-разному для достижения одного и того же конечного результата.

Вкратце, текущий стандарт TLS 1.3 по сравнению с SSL (и более ранними стандартами TLS) включает уменьшение задержки для ускорения загрузки , что в наши дни необходимо для каждого сайта, удаление устаревшего кода , чтобы уменьшить количество векторов, которые кто-то может использовать. атаковать ваш сайт и использовать одно рукопожатие между точками, а не несколько, что снова снижает векторы, которые кто-то может поставить под угрозу вашу безопасность.

SSL, впервые выпущенный в 1995 году, является предшественником TLS. С тех пор во всех трех итерациях SSL не было уязвимостей безопасности. На самом деле, первая версия так и не была опубликована. Позже Инженерная рабочая группа Интернета (IETF) объявила устаревшими все версии SSL.

Несмотря на это, термин SSL по-прежнему широко используется для описания сертификатов безопасности, которые необходимо получить пользователям веб-сайтов. Но в большинстве случаев фактический протокол, выполняемый за кулисами, — это TLS. На сегодняшний день версии 1.2 и 1.3 TLS являются единственными версиями любого протокола (TLS и SSL), которые еще не объявлены IETF или основными браузерами устаревшими. Если вы хотите узнать больше о технических тонкостях TLS 1.3 и о том, как он работает, у Cloudflare есть отличный пост с изложением спецификаций.

Должен ли ваш сайт иметь TLS или SSL?

За прошедшие годы SSL был почти полностью заменен TLS. Несмотря на то, что вы по-прежнему будете видеть, что «сертификаты SSL» упоминаются чаще, чем сертификаты TLS, базовым используемым протоколом, скорее всего, будет TLS. Независимо от того, как это называется.

На вашем веб-сайте должен использоваться TLS, так как теперь это одобренный IETF стандартный протокол для обеспечения безопасности веб-сайтов. Ваш веб-хост может предоставлять сертификаты SSL с хостингом (или вы можете получить их самостоятельно в другом месте), он, вероятно, будет по-прежнему работать через этот протокол TLS, независимо от того, называется ли он SSL. Если вы стремитесь к максимальной безопасности WordPress, вам нужно убедиться, что ваши базы описаны здесь.

Из-за различных проблем с безопасностью SSL и более старые версии TLS необходимо отключить на стороне сервера вашего веб-сайта. Если вам неудобно работать на сервере самостоятельно, вы можете попросить хостера веб-сайта или разработчика помочь вам. Ведь это то, за что вы им платите! Убедившись, что устаревшие версии SSL и TLS предотвращают включение старых протоколов, вы дополнительно защитите свой веб-сайт от угроз безопасности и вторжений.

Как насчет обоих?

Из-за сходства, истории и несколько сбивающих с толку соглашений об именах у вас может возникнуть вопрос, нужны ли владельцам веб-сайтов сертификаты SSL и TLS для надлежащей защиты своих сайтов. Неа! В наши дни сертификаты SSL и TLS делают то же самое. Сам по себе сертификат не обеспечивает безопасность вашего веб-сайта. Вместо этого он просто позволяет протоколу TLS выполнять свою работу в фоновом режиме. Это еще больше объясняет, почему соглашения об именах нечеткие — чтобы вещи больше соответствовали тому, что люди привыкли слышать.

Как использовать TLS и SSL на вашем сайте WordPress

Использование TLS и SSL на вашем веб-сайте WordPress довольно просто. Во-первых, вам нужно получить сертификат (чаще всего называемый SSL-сертификатом, как мы упоминали). Доступны как платные, так и бесплатные варианты. Это означает, что вы можете получить сертификат таким образом, который лучше всего подходит для вашего бюджета и типа веб-сайта, которым вы управляете. Возможно, вы работаете в отрасли, которая требует более жесткого уровня безопасности и контроля, чем может предложить бесплатный сертификат. Если это так, вы хотели бы найти платный сертификат SSL.

Есть несколько различных способов получить SSL-сертификат для вашего сайта WordPress. Все это довольно легко.

• Получите бесплатный SSL-сертификат из такого источника, как ZeroSSL или SSL For Free (их нужно будет обновлять вручную каждые 90 дней, и у них не будет всесторонней поддержки клиентов).
• Приобретите веб-хостинг у компании, которая предоставляет SSL-сертификат как часть вашего пакета хостинга с такими хостами, как SiteGround, Flywheel и Pressable.
• Повысьте безопасность своего сайта, используя CDN, например Cloudflare.
• Используйте плагин WordPress, такой как Really Simple SSL, для реализации вашего SSL-сертификата.

Получив сертификат, убедитесь, что все ваши ссылки перенаправляют на ваш сайт HTTPS, а не HTTP. Google может наказать вас за небезопасный сайт, если вы этого не сделаете. Это гарантирует, что вы не будете помечены, когда пользователи попытаются получить доступ к вашему сайту. Для этого можно использовать плагины WordPress, такие как WP Force SSL и HTTPS Redirect. В качестве альтернативы вы можете попросить своего веб-хостинга или разработчика помочь с правильной настройкой вашего сервера для перенаправления на HTTPS. Некоторые плагины перенаправления 301 и плагины SEO также предлагают эту функцию прямо в своих настройках.

Вывод

Когда вы улавливаете ссылки на TLS против SSL и на то, что они разные, они и правильные, и неправильные. Технические характеристики разные, но названия в наши дни взаимозаменяемы. По сути, они ссылаются на стандарт, обеспечивающий тот же конечный результат. Протокол TLS заменил SSL, потому что он быстрее и безопаснее. Однако имена TLS и SSL остаются взаимозаменяемыми в отношении сертификатов безопасности.

Помните, безопасность WordPress с использованием TLS относительно проста и далеко не так запутана, как имена и .

Теперь, когда вы знаете, какой протокол использовать, пришло время защитить свой веб-сайт. Удачи!

Статья с изображением MicroOne / Shutterstock.com