SSL (Secure Sockets Layer) og TLS (Transport Layer Security) er protokoller, der bruges til at kryptere online kommunikation. De definerer, hvordan en klient og en server skal kommunikere sikkert og finde den bedste måde at beskytte dataudvekslingen på.
Historien bag SSL
SSL 1.0 blev aldrig udgivet, da den indeholdt alvorlige sårbarheder.
SSL 2.0 blev udgivet i 1995, men blev hurtigt anset som usikker og er i dag fuldstændig blokeret.
SSL 3.0 blev en komplet omskrivning og udkom i 1996. Den blev brugt frem til 2014, hvor POODLE-sårbarheden blev opdaget.
Siden 2015 har anbefalingen været at undgå SSL 2.0 og SSL 3.0 helt og i stedet bruge TLS – som i praksis kan betragtes som en slags “SSL 4.0”.
Udviklingen af TLS
TLS er en videreudvikling af SSL og introducerer løbende forbedringer for at imødegå nye og potentielle sårbarheder. Protokollen er bagudkompatibel, men blokerer bevidst SSL 2.0 og 3.0.
TLS 1.0 – udgivet i 1999
TLS 1.1 – udgivet i 2006
TLS 1.2 – udgivet i 2008
TLS 1.3 – udgivet i 2018
Er ældre TLS-versioner usikre?
Ikke nødvendigvis. En server, der kun understøtter f.eks. TLS 1.0, kan stadig være sikker, hvis den er korrekt konfigureret – f.eks. ved at deaktivere svage krypteringsalgoritmer. Men det er ikke muligt at vurdere sikkerheden udelukkende ud fra TLS-versionen, som man kan med SSL 2.0/3.0.
Anbefalinger fra branchen
Banker, kreditkortudbydere og andre sikkerhedsbevidste organisationer anbefaler tydeligt at bruge TLS 1.2 eller nyere.
