TLS là gì và nó so sánh với SSL như thế nào?

13

TLS có phải là phiên bản "mới" của SSL không? Những tính năng nào nó thêm, hoặc vấn đề bảo mật mà nó giải quyết?

Có thể có bất cứ điều gì hỗ trợ SSL hỗ trợ TLS không? Điều gì sẽ được tham gia vào việc thực hiện chuyển đổi? Là công tắc có giá trị nó?

Tại sao các email được gửi qua "TLS cơ hội" và VPN thường được gọi là SSL VPN? Có sự khác biệt trong công nghệ, có lẽ tạo ra chỗ cho dòng sản phẩm "TLS VPN" không?

— goodguys_activate
nguồn

11

TLS và SSL là những công nghệ liên quan chặt chẽ.

Đầu tiên, email và TLS cơ hội. ESMTP có tùy chọn thực hiện phần truyền dữ liệu thực tế của cuộc hội thoại qua một liên kết được mã hóa. Đây là một phần của giao thức và đã được gọi là TLS trong phần lớn sự tồn tại của nó. Nó hoạt động đại khái như thế này:

-> EHLO foreignmailer.example.com
<- 250 Howdy, stranger
<- [list of capabilities, of which TLS is listed]
-> [Indicates it wants to start a TLS session]
<- [accepts negotioation]
-> [Mail actions, of which LOGIN might be one]

Khi phiên TLS đã được bắt đầu, các phương thức đăng nhập mới có thể khả dụng. Đây là một ví dụ về giao thức bao gồm trực tiếp Bảo mật lớp giao dịch. Các chứng chỉ được sử dụng là cùng loại chứng chỉ được sử dụng cho SSL qua HTTP.

Để biết ví dụ về dịch vụ không bao gồm TLS trực tiếp, hãy lấy POP3-over-SSL. Trong trường hợp đó, phiên bảo mật được đàm phán trước khi giao thức thực tế được đàm phán. Về bản chất, POP3 đang được gói gọn trong một phiên an toàn.

Nói chung, nếu một dịch vụ hỗ trợ SSL, nó có thể được mở rộng để hỗ trợ TLS. Điều đó có được thực hiện hay không là tùy thuộc vào những người duy trì dịch vụ. Điều này không có nghĩa là TLS có thể thay thế SSL trong "SSL VPN".

SSL VPN khác với anh em họ dựa trên IPSec của họ ở chỗ phiên bảo mật được thực hiện ở một cấp độ khác. SSL VPN thực hiện công việc của chúng giống như cách mà POP3-over-SSL thực hiện, trong đó lưu lượng được gói gọn trong kết nối TCP hiện có. IPSec VPN tạo một đường hầm bảo mật cấp IP , trong đó SSL VPN tạo một đường hầm bảo mật cấp TCP . Lý do SSL VPN dường như đang chiếm lĩnh là vì chúng dễ thiết lập hơn và chịu được các điều kiện mạng xấu hơn. SSL VPN có thể và sử dụng giao thức TLS để bảo mật phiên, mặc dù nó phụ thuộc vào chính nhà sản xuất VPN.

Đối với sự khác biệt về cấp độ giao thức chính xác giữa SSL và TLS, tôi không thể tham gia. TLS như là một tiêu chuẩn đã đến muộn hơn SSL và do đó bao gồm một số bài học kinh nghiệm trong các phiên bản SSL đầu tiên. SSLv3 đã được phê chuẩn trở lại vào năm 1996 và TLS1.0 vào năm 1999, và sự phát triển giao thức tiếp theo dường như bị giới hạn trong bộ TLS. Phải mất một thời gian dài để SSLv1 và v2 biến mất. TLS là sự kế thừa rõ ràng của bộ SSL.

— sysadmin1138
nguồn

Khi nào SSLv3 sẽ biến mất và nó được thay thế bằng TLS? Bất kỳ tình huống hôm nay hoặc trong tương lai gần mà điều này sẽ có liên quan?

— goodguys_activate

@ MakerOfThings7 Về mặt hỗ trợ trình duyệt, nó sẽ biến mất khi 90% người dùng duyệt chủ động hỗ trợ TLS mà không quay lại SSLv3. Điều đó có thể sẽ xảy ra một thời gian trong 5-7 năm tới. Điều đó có thể thay đổi nếu một điểm yếu dễ khai thác được phát hiện trong SSLv3 sẽ khiến việc triển khai nhanh hơn.

— sysadmin1138

2

SSL v 3 và TLSv1 đã bị phá vỡ trong cuộc tấn công BEAST luxsci.com/blog/ ,) và SSL v3 một lần nữa thông qua POODLE ( arstechnica.com/security/2014/10/ trên ) hy vọng chúng ta có thể thúc đẩy TLS 1.2 được sử dụng nhiều hơn thường xuyên

— Jim B

Thông số kỹ thuật cho TLS 1.2 có tại đây tools.ietf.org/html/rfc5246 và cho 1.3 (dự thảo hiện tại) đang ở đây ietf.org/id/draft-ietf-tls-tls13-02.txt

— Jim B

5

TLS về cơ bản là một bản nâng cấp lên SSL. Các thay đổi đối với nó không đáng kể, nhưng đủ quan trọng để phá vỡ tính tương thích với SSL3.0.

Các bài viết Wikipedia bao gồm nó rộng rãi nhưng trong điều khoản hợp lý dễ hiểu. (Tôi không có ý với RTFM, nhưng tôi không muốn lặp lại mọi thứ ở đó.)

Chúng được sử dụng theo những cách tương tự, và vẫn được gọi là SSL. Về cơ bản, bạn chọn sơ đồ mã hóa của mình là một hoặc khác.

— galdaldo
nguồn

5

+1, Sự khác biệt lớn nhất là SSL là mã hóa ngầm, nghĩa là kết nối bắt đầu bằng một cái bắt tay mã hóa và không làm gì cho đến khi thành công. TLS là rõ ràng, kết nối bắt đầu và tại một số điểm khách hàng yêu cầu bắt đầu mã hóa thông tin liên lạc.

— Chris S

1

@Chris: Bạn có chắc về điều đó? openssldường như không đồng ý (Nhiều chương trình nói "TLS" khi chúng có nghĩa là "STARTTLS".)

— user1686

@Grawity, tôi nghĩ bạn đang nhầm lẫn chế độ dự phòng của TLS với SSL. Nhiều ứng dụng sẽ sử dụng trình bao bọc TLS nhận ra một cuộc đàm phán SSL và bắt đầu bắt tay ngay lập tức. Nếu một ứng dụng đang chạy TLS thuần túy (w / o dự phòng) thì nó phải phát hành STARTTLS (hoặc tương đương, tùy thuộc vào giao thức, mặc dù hầu hết các giao thức đều sử dụng điều đó) trước khi bắt tay mã hóa.

— Chris S

Tất cả các ý kiến đó áp dụng cho SSL / TLS đang được sử dụng bởi các giao thức khác. SSLv3 và TLSv1.0 gần như giống hệt nhau với sự khác biệt chỉ được biết đến bởi các chuyên gia giao thức.

— Nasko

Ngoài ra, TLS không phá vỡ khả năng tương thích với SSL, vui lòng xác minh nguồn của bạn.

— Nasko

3

SSL như mọi người đã chỉ ra là một giao thức được thiết kế bởi Netscape trong quá khứ. Tại một số thời điểm, cơ quan tiêu chuẩn IETF đã quyết định áp dụng giao thức SSLv3 như một tiêu chuẩn, do đó, nó đã thay đổi rất tinh vi và nó được đặt tên là TLSv1.0.

Vì vậy, đối với hầu hết mọi người, TLSv1.0 gần như tương đương với SSLv3. Lý do mọi người vẫn gọi họ là giao thức SSL là vì lý do lịch sử - mọi người đều quen với tên này, vì vậy họ tiếp tục sử dụng nó. VPN hoàn toàn có thể sử dụng TLS dưới vỏ bọc, nhưng tên tiếp thị vẫn là SSL VPN.

Kể từ TLSv1.0, đã có hai phiên bản của tiêu chuẩn và hiện tại TLSv1.2, trong khi vẫn tương thích, có một số thay đổi đáng kể. Do thiết kế SSL / TLS, cả máy khách và máy chủ đều có thể thương lượng phiên bản giao thức nào chúng muốn sử dụng, do đó, máy khách sử dụng TLSv1.0 vẫn có thể nói chuyện với các máy chủ triển khai TLSv1.2 và ngược lại.

Xem xét khả năng tương tác giữa tất cả các phiên bản của giao thức, không có "thực hiện chuyển đổi", vì chúng là cùng một gia đình. Đó là một câu hỏi "tôi có cần sử dụng phiên bản mới hơn không?". Như với bất kỳ lĩnh vực nào khác, câu trả lời cho câu hỏi này sẽ phụ thuộc vào việc phiên bản hiện tại bạn đang sử dụng có bất kỳ giới hạn nào hay không. Hiện tại không có vấn đề gì với việc sử dụng SSLv3, nhưng phần lớn các máy khách và máy chủ ngoài kia hoạt động với TLSv1.0.

Tôi hy vọng điều này làm rõ hình ảnh một chút. Nếu không, hãy cho tôi biết những gì vẫn còn khó hiểu tôi sẽ cố gắng giải thích thêm.

— Không
nguồn

0

TLS có phải là phiên bản "mới" của SSL không? Những tính năng nào nó thêm, hoặc vấn đề bảo mật mà nó giải quyết?

TLS là sinh thái T ransport L ayer S và thường đề cập đến lệnh STARTTLS trong các máy chủ thư SMTP. Nó có thể hoặc không thể sử dụng SSL (ví dụ như XEM cọ), nhưng nói chung SSL là hệ thống bảo mật chính được sử dụng. TLS cũng đã được sử dụng cho các mục đích khác (như HTTP) và thông số RFC mới nhất là ở phiên bản 1.2

Có thể có bất cứ điều gì hỗ trợ SSL hỗ trợ TLS không? Điều gì sẽ được tham gia vào việc thực hiện chuyển đổi? Là công tắc có giá trị nó?

Thông thường nhưng bằng bất cứ điều gì, với TLS là sự cân nhắc, bạn đang đề cập đến mailservers, do đó, cụ thể là những người gửi thư có chứng chỉ SSL có thể sử dụng TLS để chuyển thư và nhận thư.

Tại sao các email được gửi qua "TLS cơ hội" và VPN thường được gọi là SSL VPN? Có sự khác biệt trong công nghệ, có lẽ tạo ra chỗ cho dòng sản phẩm "TLS VPN" không?

Điều này có mùi giống như các nhân viên tiếp thị có trong phòng. "TLS cơ hội" đơn giản có nghĩa là nếu starttls không trả về 220 (Sẵn sàng bắt đầu TLS), hãy tiếp tục và gửi email bằng mọi cách. Lưu ý rằng TLS là tùy chọn SENDER không phải là tùy chọn người nhận có thể với một số máy chủ thư có thể từ chối thư không phải là TLS nhưng đó không phải là ngoại lệ.

TLS cũng hỗ trợ xác thực lẫn nhau và không chỉ đơn giản là mã hóa kết nối.

Gửi email qua VPN (cho dù SSL hoặc chương trình bảo mật khác) chỉ đơn giản là làm cho bảo mật mailservers không liên quan, bạn có thể sử dụng TLS qua VPN (và thậm chí bạn có thể sử dụng TLS làm sơ đồ bảo mật VPN) nhưng nó không nhất thiết ảnh hưởng đến cách thư được vận chuyển nếu chỉ kết nối VPn được mã hóa giữa các mailservers (vì vậy từ các mailervers nguồn và đích, chúng có thể truyền văn bản rõ ràng tiêu chuẩn)

— Jim B
nguồn

Tôi có ý kiến khác. TLS thường không đề cập đến lệnh STARTTLS trong SMTP. Bất kỳ tài liệu nào bạn đọc sẽ đề cập đến TLS là giao thức TLS, được sử dụng bởi SMTP để bảo vệ lưu lượng của nó. Bây giờ khi nói đến "TLS cơ hội", thì bạn có thể liên quan đến các giao thức cấp cao hơn có "cơ hội" để sử dụng TLS hay không.

— Nasko

Bạn chắc chắn được hoan nghênh không đồng ý tuy nhiên nếu bạn hỏi 10 quản trị viên thì TLS được sử dụng cho 9 sẽ nói gì về email. Ngay cả câu hỏi cũng giả sử các email liên quan đến TLS. Tôi cũng đề cập rằng TLS được sử dụng cho những thứ khác. RFC 2434 định nghĩa mật mã nào có thể được đàm phán trong thông điệp serverhello - nó không liên quan gì đến TLS cơ hội. Dies SMTP nto xác định bất kỳ mã hóa. RFC 3207 định nghĩa starttls là một phần mở rộng máy chủ

— Jim B

"TLS" chỉ đề cập đến "STARTTLS" không chính xác. STARTTLS chỉ là một từ khóa để khái quát hóa cách tiếp cận, nhưng nó đòi hỏi tích hợp trong giao thức ban đầu. Lệnh STARTTLS trông tương tự trong SMTP và IMAP, nhưng cần được tích hợp theo cú pháp trong LDAP; cơ chế tương tự trong S-HTTP (không phải HTTPS) không sử dụng từ khóa đó. Không phải vì các ứng dụng thư cung cấp lựa chọn giữa "SSL" và "TLS" có nghĩa là lựa chọn giữa SSL / TLS ban đầu và cơ hội mà việc sử dụng tên của họ là đúng. Tôi đặt cược một số máy chủ SMTPS hỗ trợ TLSv1 rất tốt, trả trước. Bạn cũng có thể thấy một số SSLv3 sau khi sử dụng STARTTLS.

— Bruno

1

Câu trả lời đó là sai. STARTTLS là một lệnh được sử dụng trong nhiều giao thức (ví dụ: SMTP) để khởi tạo TLS hoặc SSL. Khác hơn là họ không liên quan.

— Nikos