什么是 TLS 以及它与 SSL 相比如何?

什么是 TLS 以及它与 SSL 相比如何?

TLS 是 SSL 的“新”版本吗?它添加了哪些功能,或者解决了哪些安全问题?

支持 SSL 的任何东西都能支持 TLS 吗?切换需要涉及什么?切换值得吗?

为什么电子邮件是通过“机会性 TLS”和通常称为 SSL VPN 的 VPN 发送的?技术上是否存在差异,也许为“TLS VPN”产品线创造了空间?

答案1

TLS 和 SSL 是密切相关的技术。

首先,电子邮件和机会性 TLS。ESMTP 可以选择通过加密链接执行对话的实际数据传输部分。这是协议的一部分,在其存在的大部分时间里都被称为 TLS。它的工作原理大致如下:

-> EHLO foreignmailer.example.com
<- 250 Howdy, stranger
<- [list of capabilities, of which TLS is listed]
-> [Indicates it wants to start a TLS session]
<- [accepts negotioation]
-> [Mail actions, of which LOGIN might be one]

一旦启动 TLS 会话,新的登录方法可能可用。这是直接包含事务层安全性的协议的示例。使用的证书与用于 SSL over HTTP 的证书类型相同。

举一个不直接包含 TLS 的服务示例,以 POP3-over-SSL 为例。在这种情况下,安全会话是通过协商实现的实际的协议是经过协商的。实际上,POP3 被封装在安全会话中。

一般来说,如果服务支持 SSL,则可以扩展以支持 TLS。是否这样做取决于服务的维护者。这确实意味着 TLS 可以在“SSL VPN”中取代 SSL。

SSL VPN 与基于 IPSec 的 VPN 不同,安全会话是在不同的级别进行的。SSL VPN 的工作方式与 POP3-over-SSL 的工作方式非常相似,流量通过现有的 TCP 连接进行封装。IPSec VPN 创建IP 层安全隧道,SSL VPN 在其中创建TCP层安全隧道。SSL VPN 之所以越来越流行,是因为它们更容易设置,而且对恶劣的网络条件更能容忍。SSL VPN 可以而且确实使用 TLS 协议来保护会话,尽管这取决于 VPN 本身的制造商。

至于 SSL 和 TLS 之间确切的协议级别差异,我无法深入讨论。TLS 作为标准比 SSL 晚出现,因此包括了早期 SSL 版本中的一些经验教训。SSLv3 于 1996 年获得批准,TLS1.0 于 1999 年获得批准,进一步的协议开发似乎仅限于 TLS 套件。SSLv1 和 v2 花了很长时间才消失。TLS 显然是 SSL 套件的继承者。

答案2

TLS 本质上是 SSL 的升级版。它的变化并不大,但足以破坏与 SSL3.0 的兼容性。

维基百科文章内容广泛,但用词合理易懂。(我不是要阅读手册,但我不想重复所有内容。)

它们的使用方式类似,仍称为 SSL。基本上,您可以选择其中一种加密方案。

答案3

SSL 就像人们已经指出的那样,是 Netscape 在过去设计的协议。在某个时候,IETF 标准机构决定采用 SSLv3 协议作为标准协议,因此它进行了非常微妙的修改,并被命名为 TLSv1.0。

因此对于大多数人来说,TLSv1.0 几乎相当于 SSLv3。人们仍将协议系列称为 SSL 的原因是由于历史原因 - 每个人都习惯了这个名字,所以他们继续使用它。VPN 很有可能在幕后使用 TLS,但营销名称仍为 SSL VPN。

自 TLSv1.0 以来,该标准已进行了两次修订,目前为 TLSv1.2,虽然仍然兼容,但也有一些重大变化。由于 SSL/TLS 设计,客户端和服务器都可以协商要使用哪个版本的协议,因此使用 TLSv1.0 的客户端仍然可以与实现 TLSv1.2 的服务器通信,反之亦然。

考虑到该协议所有版本之间的互操作性,不存在“切换”的问题,因为它们属于同一个家族。问​​题在于“我是否需要使用更新的版本?”。与任何其他领域一样,这个问题的答案取决于您当前使用的版本是否有任何限制。目前使用 SSLv3 没有问题,但大多数客户端和服务器都使用 TLSv1.0。

我希望这能稍微澄清一下图片。如果没有,请告诉我还有什么困惑,我会尝试进一步解释。

答案4

TLS 是 SSL 的“新”版本吗?它添加了哪些功能,或者解决了哪些安全问题?

TLS 是电视运输大号艾尔年代ecurity,通常指 SMTP 邮件服务器中的 STARTTLS 命令。它可能使用或不使用 SSL(请参阅 palm versamal 的示例),但一般来说 SSL 是主要使用的安全系统。TLS 还用于其他目的(如 HTTP ),最新的 RFC 规范为 1.2 版

支持 SSL 的任何东西都能支持 TLS 吗?切换需要涉及什么?切换值得吗?

通常但无论如何,考虑到 TLS,您指的是邮件服务器,因此具体来说,具有 SSL 证书的邮件服务器可以使用 TLS 来传输邮件和接收邮件。

为什么电子邮件是通过“机会性 TLS”和通常称为 SSL VPN 的 VPN 发送的?技术上是否存在差异,也许为“TLS VPN”产品线创造了空间?

这听起来像是营销笨蛋进了房间。“机会性 TLS”只是意味着如果 starttls 没有返回 220(准备启动 TLS),则继续发送电子邮件。请注意,TLS 是发件人选项,而不是收件人选项,某些邮件服务器可能会拒绝非 TLS 邮件,但这只是例外,而不是规则。

TLS 还支持相互认证,而不仅仅是连接加密。

通过 VPN 发送电子邮件(无论是 SSL 还是其他安全方案)只会使邮件服务器的安全性变得无关紧要,您可以在 VPN 上使用 TLS(甚至可以使用 TLS 作为 VPN 安全方案),但如果只有邮件服务器之间的 VPN 连接是加密的,它不一定会影响邮件的传输方式(因此从源邮件服务器和目标邮件服务器,它们可能会传输标准明文)

相关内容