Jika Anda merasa awam dengan TLS namun tidak dengan SSL, maka tidak perlu khawatir. SSL dan TLS keduanya sama-sama berfungsi sebagai protokol kriptografi yang mengotentikasi dan mengamankan koneksi pengiriman data antara browser dengan server dalam sebuah jaringan. Namun, jika ditanya apakah SSL berbeda dengan TLS? Maka bisa dijawab Ya dan Tidak secara bersamaan.
SSL sendiri memang diciptakan lebih awal dibandingkan TLS yang muncul pada akhir 90an. SSL (Secure Socket Layer) diciptakan oleh Netscape di tahun 1994 sebagai awal sistem keamanan komunikasi antara browser dengan web server. Saat itu protokol SSL yang dirilis pertama kali kepada publik adalah versi SSLv2 (verisi 0.1 tidak dirilis untuk publik karena belum sempurna bagi sistem keamanan) hingga diganti dalam selang waktu tidak lama dengan versi SSLv3 sebab ditemukannya sejumlah kerentanan. Yang kemudian IETF (Internet Engineering Task Force) muncul untuk melakukan pembaharuan dan memberikan standarisasi lebih baik pada protokol tersebut sampai adanya penerbitan SSLv3 dan protokol TLS (Transport Layer Security) sebagai yang terbaru.
Untuk pemahaman perjalanan kemunculan SSL dan TLS, bisa diperhatikan tabel di bawah ini.
Uraian SSL (Secure Socket Layer)
| SSLv1 | Tidak dirilis untuk publik karena keamanan yang belum sempurna. |
| SSLv2 | Pertama kali dirilis oleh Netscape pada Februari 1995 dan terdapat sejumlah kerentanan yang akhirnya digantikan oleh versi v0.3. Versi 0.2 benar-benar telah ditinggalkan sejak 2011 lalu. |
| SSLv3 | Pembaruan dari kekurangan v0.2 sehingga dianggap tidak aman pada tahun 2004 karena Poodle Attack. |
Uraian TLS (Transport Layer Security)
| TLS 1.0 | Peningkatan dari SSLv3 dan dirilis pada Januari 1999. Awal penerus protokol SSL dan versi 1.0 memungkinkan untuk downgrade ke SSLv3. |
| TLS 1.1 | Dirilis pada April 2006, merupakan hasil penataran versi 1.0 dengan ditambahkannya perlindungan melawan serangan CBC (Cipher Block Chaining). Dan pada tahun 2010, Mozilla, Apple, Microsoft dan Google mengumumkan tidak menggunakan lagi TLS versi 1.0 dan 1.1 |
| TLS 1.2 | TLS 1.0 Dirilis pada 2008, v1.2 ini mengizinkan spesifikasi Hash dan Algoritma untuk digunakan pada browser dan server. Juga diperbolehkan otentikasi enkripsi yang menambahkan dukungan lebih pada mode data yang besar. TLS 1.2 mampu menyesuaikan panjang data berdasarkan cipher suite. |
| TLS 1.3 | TLS 1.2 Versi 1.3 dirilis baru-baru ini pada Agustus 2018 dan memiliki banyak fitur utama yang membedakan dengan versi sebelumnya. Seperti penghapusan dukungan MD5 dan SHA-224, mewajibkan penandatanganan digital (digital signature), pemakaian kerahasiaan Perfect Forward yang diwajibkan dalam hal pertukaran kunci berbasiskan public key, pesan Handshake yang dienkripsi setelah sesi "Server Hello" |
SSL dan TLS bukanlah sertifikat.
Anda tidak perlu mengganti sertifikat SSL yang sedang berjalan dengan sertifikat TLS. Penting untuk dicatat bahwa SSL dan TLS bukanlah sebuah unit sertifikat melainkan protokol. Meskipun banyak provider yang menyebutkan SSL/TLS Certificate bukan berarti sertifikat tersebut dipisah untuk masing-masing protokol SSL dan TLS, itu mungkin ditujukan agar dikenal lebih akurat sebagai ‘Sertifikat yang digunakan untuk SSL dan TLS’ karena protokol SSL dan TLS sendiri merupakan konfigurasi dalam server bukan pada sertifikat.
Tabel perbandingan protokol SSL dan TLS yang perlu diketahui secara teknis.
| Fitur | SSL (Socket Secure Layer) Protocol | TLS (Transport Layer Security )Protocol |
| Cipher Suite | Mendukung Fortezza (Algoritma) | Tidak mendukung Fortezza |
| Cryptography Secret | Menggunakan pesan utama pre-master secret untuk membuat master secret | Menggunakan fungsi pseudorandom untuk membuat master secret |
| Record Protocol | Menggunakan MAC (Message Authentication Code) | Menggunakan HMAC (Hash MAC) |
| Alert Protocol | Terdapat pesan peringatan 'No Certificate' | Mengeliminasi pesan peringatan dan menambahkan nilai selusin darinya |
| Messgae Authentication | Ad hoc | Standard |
| Key Material | Ad hoc | Fungsi Pseudorandom |
| Certificate Verify | Kompleks | Sederhana |
| Finished | Ad hoc | Fungsi Pseudorandom |
Akan tetapi untuk saat ini browser ternama hanya mendukung protokol TLS yang memiliki pembaharuan serta improvisasi fitur bertahun-tahun dan SSL tidak akan mampu beroperasional sepadan dengannya dan berpotensi menurunkan user experience pada browser. Dengan begitu, Anda sebaiknya menonaktifkan SSLv2 dan SSLv3 pada konfigurasi server dan membiarkan TLS aktif agar sertifikat keamanan website dan browser dapat bekerja dengan maksimal tanpa risiko.
Beberapa pertimbangan untuk mengaktifkan protokol TLS:
· Mencegah penyusup untuk mengintip dan merusak komunikasi antara browser dengan server.
· TLS menggunakan enkripsi asimetris yang berperan membangun dan mempercepat koneksi.
· Menambahkan latensi pada website traffic
· Dengan tambahan HTTP/2, TLS mampu mempercepat koneksi
Dari sini dapat diketahui bahwa SSL merupakan protokol kriptografi pertama dan TLS merupakan pembaharuan versi lama SSL tanpa menghilangkan fungsi utama. SSL dan TLS sama saja pada pengunaan sertifikat keamanan website dengan tugas enkripsinya. Tetapi, akan memberikan arti beda jika menyangkut protokol server sebab terdapat perbedaan nilai vulnerability, cipher suite yang sudah kedaluwarsa dan browser alert.
Dan fakta menarik lainnya, masih banyak orang yang menyebut SSL karena lebih familier dibandingkan TLS yang tidak akan memberikan pengaruh apapun pada fungsi sertifikat SSL/TLS.
