Het protocol Transport Layer Security (TLS) en zijn voorganger, Secure Sockets Layer (SSL), zijn cryptografische protocollen die veiligheid en gegevensintegriteit bieden voor communicatie over TCP/IP-netwerken zoals het internet. Verschillende versies van de protocollen zijn gangbaar in toepassingen zoals webbrowsen, elektronische post, internetfaxen, instant messaging en voice-over-IP (VoIP).
Transport Layer Security
Beschrijving
Met het TLS-protocol kunnen toepassingen over een netwerk communiceren op een manier die het afluisteren, knoeien en vervalsen van berichten voorkomt. TLS biedt authenticatie van het eindpunt en vertrouwelijkheid van de communicatie over het internet met behulp van cryptografie. Meestal wordt alleen de server geauthenticeerd (d.w.z. zijn identiteit is gewaarborgd) terwijl de client ongeauthenticeerd blijft; dit betekent dat de eindgebruiker (een individu of een toepassing, zoals een webbrowser) er zeker van kan zijn met wie hij communiceert. Het volgende beveiligingsniveau staat bekend als wederzijdse authenticatie. Voor wederzijdse authenticatie moet een publieke sleutelinfrastructuur (PKI) op clients worden toegepast, tenzij TLS-PSK of het Secure Remote Password (SRP)-protocol worden gebruikt, die een sterke wederzijdse authenticatie bieden zonder dat een PKI hoeft te worden toegepast.
Gebruik
SSL en TLS worden veel gebruikt in verschillende open source software projecten. Programmeurs kunnen de bibliotheken OpenSSL, NSS of GnuTLS gebruiken voor SSL/TLS-functionaliteit. Microsoft Windows bevat een gebruik van SSL en TLS als onderdeel van zijn Secure Channel pakket. Delphi-programmeurs kunnen een bibliotheek genaamd Indy gebruiken.
Normen
De huidige goedgekeurde versie is 1.2, die wordt gespecificeerd in:
- RFC 5246: "The Transport Layer Security (TLS) Protocol Version 1.2".
De huidige norm vervangt deze vroegere versies:
- RFC 2246: "Het TLS-protocol versie 1.0".
- RFC 4346: "The Transport Layer Security (TLS) Protocol Version 1.1".
Andere RFC's hebben vervolgens TLS uitgebreid, waaronder:
- RFC 2595: "Gebruik van TLS met IMAP, POP3 en ACAP". Specificeert een uitbreiding van de IMAP-, POP3- en ACAP-diensten waarmee de server en de client transportlaagbeveiliging kunnen gebruiken om private, geauthenticeerde communicatie over het internet mogelijk te maken.
- RFC 2712: "Toevoeging van Kerberos Cipher Suites aan Transport Layer Security (TLS)". De 40-bits ciphersuites die in deze nota worden gedefinieerd, worden alleen vermeld om te documenteren dat die ciphersuite-codes reeds zijn toegewezen.
- In RFC 2817: "Upgraden naar TLS binnen HTTP/1.1" wordt uitgelegd hoe het Upgrade-mechanisme in HTTP/1.1 kan worden gebruikt om Transport Layer Security (TLS) te initiëren over een bestaande TCP-verbinding. Hierdoor kunnen onbeveiligd en beveiligd HTTP-verkeer dezelfde bekende poort delen (in dit geval http: op 80 in plaats van https: op 443).
- RFC 2818: "HTTP Over TLS", onderscheidt beveiligd verkeer van onveilig verkeer door het gebruik van een andere "serverpoort".
- RFC 3207: "SMTP Service Extension for Secure SMTP over Transport Layer Security". Specificeert een uitbreiding van de SMTP-dienst waarmee een SMTP-server en -cliënt transportlaagbeveiliging kunnen gebruiken om private, geauthenticeerde communicatie over het internet mogelijk te maken.
- RFC 3268: "AES Ciphersuites for TLS". Voegt Advanced Encryption Standard (AES) cijfers toe aan de reeds bestaande symmetrische cijfers.
- RFC 3546: "Transport Layer Security (TLS) Extensions", voegt een mechanisme toe voor het onderhandelen over protocoluitbreidingen tijdens sessie-initialisatie en definieert enkele uitbreidingen. Achterhaald door RFC 4366.
- RFC 3749: "Transport Layer Security Protocol Compression Methods", specificeert het kader voor compressiemethoden en de DEFLATE compressiemethode.
- RFC 3943: "Transport Layer Security (TLS) Protocol Compression Using Lempel-Ziv-Stac (LZS)".
- RFC 4132: "Toevoeging van Camellia Cipher Suites aan Transport Layer Security (TLS)".
- RFC 4162: "Toevoeging van SEED Cipher Suites aan Transport Layer Security (TLS)".
- RFC 4217: "Beveiliging van FTP met TLS".
- RFC 4279: "Pre-Shared Key Ciphersuites for Transport Layer Security (TLS)", voegt drie reeksen nieuwe ciphersuites voor het TLS-protocol toe ter ondersteuning van authentificatie op basis van vooraf gedeelde sleutels.
- RFC 4347: "Datagram Transport Layer Security" specificeert een TLS-variant die werkt over datagramprotocollen (zoals UDP).
- RFC 4366: "Transport Layer Security (TLS) Extensions" beschrijft zowel een reeks specifieke uitbreidingen als een algemeen uitbreidingsmechanisme.
- RFC 4492: "Elliptic Curve Cryptography (ECC) Cipher Suites for Transport Layer Security (TLS)".
- RFC 4507: "Transport Layer Security (TLS) Session Resumption without Server-Side State".
- RFC 4680: "TLS Handshake Message for Supplemental Data".
- RFC 4681: "TLS User Mapping Extension".
- RFC 4785: "Pre-Shared Key (PSK) Ciphersuites with NULL Encryption for Transport Layer Security (TLS)".
Verwante pagina's
- Certificaatautoriteit
- Certificaat met openbare sleutel
- Uitgebreid validatiecertificaat
- SSL-versnelling
- Datagram Transport Layer Security
- Multiplexed Transport Layer Security
- X.509
- Virtueel privénetwerk
- SEED
- Server gated cryptografie
Software
- OpenSSL: een vrije (en zeer populaire) implementatie (BSD-licentie met enkele schunnige uitbreidingen)
- GnuTLS: een vrije implementatie onder LGPL-licentie.
- JSSE: een Java-implementatie in de Java Runtime Environment.
- Network Security Services (NSS): FIPS 140 gevalideerde open source bibliotheek