SSL (Secure Sockets Layer) och TLS (Transport Layer Security) är protokoll som används för att kryptera onlinekommunikation. De definierar hur en klient och en server ska kommunicera säkert och hitta det bästa sättet att skydda datautbytet.
Historien bakom SSL
SSL 1.0 släpptes aldrig eftersom det innehöll allvarliga sårbarheter.
SSL 2.0 släpptes 1995, men ansågs snabbt vara osäker och är idag helt blockerad.
SSL 3.0 blev en fullständig omskrivning och dök upp 1996. Den användes fram till 2014, då Puddelens sårbarhet upptäcktes.
Sedan 2015 har rekommendationen varit att Undvik SSL 2.0 och SSL 3.0 helt och hållet och istället använda TLS - som i praktiken kan betraktas som ett slags ”SSL 4.0”.
Utvecklingen av TLS
TLS är en vidareutveckling av SSL och introducerar kontinuerligt förbättringar för att hantera nya och potentiella sårbarheter. Protokollet är bakåtkompatibelt, men blockerar medvetet SSL 2.0 och 3.0.
TLS 1.0 — släppt 1999
TLS 1.1 — Släpptes 2006
TLS 1.2 — släppt 2008
TLS 1.3 — Släpptes 2018
Är äldre TLS-versioner osäkra?
Inte nödvändigtvis. En server som endast stöder t.ex. TLS 1.0, kan fortfarande vara säker om den är korrekt konfigurerad - till exempel genom att inaktivera svaga krypteringsalgoritmer. Men det går inte att bedöma säkerheten baserat enbart på TLS-versionen, som man kan med SSL 2.0/3.0.
Rekommendationer från branschen
Banker, kreditkortsleverantörer och andra säkerhetsmedvetna organisationer rekommenderar tydligt att använda TLS 1.2 eller högre.
