SSL 2.0 ve 3.0 arasındaki farklar nelerdir?
Güvenlik Geliştirmeleri:
SSL 2.0 man-in-the-middle adı verilen saldırı türüne karşı oldukça zayıftır. Saldırgan gizlice şifreleme tercihlerini değiştirebilir ve istemci ve sunucuyu 40 bitlik şifreleme kullanmaya zorlayabilir. SSL 3.0 ise buna karşı olarak uyuşma (doğrulama) mesajı ile sağlanan bir savunma mekanizmasına ve kontrol sürecine sahiptir.
SSL 2.0 zayıf bir MAC yapısı kullanıyor olsa bile post-encryption (postalama kriptosu) ile ataklar büyük ölçüde durdurulur. SSL 3.0'da ise bu sorun tamamen ortadan kalkmıştır.
SSL 2.0 blok şifreleme modlarında MAC üzerine takviye byte ekler. Fakat takviye uzunluğunu doğrulanmamış olarak bırakır, bu da saldırganlara mesajın sonundan byte silme imkanı verir. Bu problem SSL 3.0'da çözülmüştür.
SSL 3.0'da 128 bitlik mesaj kimlik doğrulama kodu kullanılır. SSL 2.0'da ise sadece 40 bitlik doğrulama kodu kullanılır.
Fonksiyonel Geliştirmeler:
SSL 2.0'da istemci sadece bağlantının başlangıcında önkontrol yapabilir, SSL 3.0'da ise istemci bu kontrolü rutin olarak işlem süresince bile uygulayabilir. Sunucu istemciden yeni bir kontrol uygulanmasını talep edebilir. Böylece taraflar algoritmayı istedikleri zaman değiştirebilirler.
SSL 3.0 sunucu ve istemcinin sertifika zincirleri gönderebilmesine olanak sağlar. Bu organizasyonların birden fazla derinlikteki sertifika hiyerarşisi kullanabilmesini mümkün kılar.
SSL 3.0 şifreleme tabanlı yönetim sistemlerinde giriş izni verilen 2 kullanıcının veya ağ cihazlarının, güvenliksiz bir ortamda yine bu şifreleri kullanarak güvenli bir şekilde veri alışverişi yapmasına, herhangi bir iletişim kanalı üzerinden açık anahtarlı şifreleme yöntemiyle şifreli iletişim yapacak olan iki nokta arasında açık anahtarlı şifrelerin değiş tokuşuna ve algoritmik olmayan sertifikasyonlara izin verir.
SSL 3.0 kayıt sıkıştırma ve genişletmeye izin verir.
Önceki Sürümler ile Uyum:
SSL 3.0 sunucu, SSL 2.0 bir istemciyi tanıyabilir ve SSL 2.0 kullanımı gerçekleştirebilir. Aynı zamanda SSL 3.0 bir istemci iletişim kurduğu sisteme bağlı olarak SSL 2.0 istemcisini SSL 3.0'a dönüşebilir. Böylece SSL 3.0 sunucular 3.0 kullanımını sürdürürler. Fakat SSL 2.0 sunucular istemcinin versiyonu ne olursa olsun SSL 2.0 kullanmasına sebep olur.
Diğer:
SSL 3.0 veri iletimini mesaj katmanından ayırır. SSL 2.0'da her paket sadece bir tane uyuşma mesajı içerir. 3.0'da bir kayıt mesajın bir kısmını, tamamını veya birkaçını içerebilir. Bu doğrulama mesajlarının herbirinin işlem paketleri için farklı işlem mantığı gerektirir. Bu sebeple paketlerin biçimlendirilmesi tamamen değiştirilmek zorundadır.
Şifreleme özellikleri, uyuşma (doğrulama) mesajları ve diğer sabitler birbirinden farklıdır.
