Unterschied zwischen SSL & amp; TLS

Laut wikipedia: http://en.wikipedia.org/wiki/Transport_Layer_Security

Scheint, wie TLS ist ein Nachfolger von SSL, aber die meisten websites sind immer noch mit SSL?

Kommentar zu dem Problem
"die meisten websites sind immer noch mit SSL". Hier ist eine gute Umfrage-Protokoll-Unterstützung trustworthyinternet.org/ssl-pulse/#chart-protocol-support Kommentarautor: Colonel Panic
Ähnlich populärer Frage: security.stackexchange.com/questions/5126/... Kommentarautor: Vadzim

InformationsquelleAutor der Frage Howard | 2010-09-11

  1. 51

    Kurz, TLSv1.0 ist mehr oder weniger SSLv3.1. Sie können weitere details finden Sie im diese Frage auf ServerFault.

    Meisten websites, die tatsächlich unterstützen sowohl SSLv3 und TLSv1.0 mindestens, als diese Studie zeigt (Lee, Malkin und Nahum Papier: Kryptografische Stärke des SSL - /TLS-Server: Aktuelle und Kürzlich Practices, IMC 2007) (link erhalten Sie von der IETF-TLS-Liste). Mehr als 98% support TLSv1+.

    Ich denke, der Grund, warum SSLv3 ist immer noch in Verwendung war für legacy-Unterstützung (obwohl die meisten Browser unterstützen TLSv1 und einige TLSv1.1 oder auch TLSv1.2 heute). Bis vor nicht allzu langer Zeit einige Distributionen hatte noch SSLv2 (unsicher) auf, die standardmäßig zusammen mit den anderen.

    (Sie können auch finden, diese Frage interessant, obwohl es über das Nutzungsverhalten von TLS statt SSL vs. TLS (man könnte in der Tat das gleiche Muster mit SSL). Dies gilt nicht für HTTPS sowieso, da HTTPS verwendet SSL/TLS aus dem Anfang der Verbindung.)

    InformationsquelleAutor der Antwort Bruno

  2. 22

    Vom http://www.thoughtcrime.org/blog/ssl-and-the-future-of-authenticity/

    In den frühen 90er Jahren, in der Morgendämmerung des World-Wide-Web, einige Ingenieure bei Netscape entwickelt ein Protokoll für die sichere HTTP-Anforderungen, und was dabei herauskam, war die so genannte SSL. Angesichts der relativ knappen body of knowledge, die über sichere Protokolle an die Zeit, als auch die intensiver Druck jeder bei Netscape arbeitete unter, Ihre Bemühungen kann nur sein, gesehen, wie unglaublich heldenhaft. Es ist erstaunlich, dass SSL ausgehalten hat, solange es hat, im Gegensatz zu einer Reihe anderer Protokolle, die von den gleichen jahrgang. Wir haben auf jeden Fall viel gelernt seitdem, aber, aber die Sache über Protokolle und APIs ist, dass es sehr wenig zurück.

    Gab es zwei größere updates für das SSL-Protokoll, SSL-2 (1995) und SSL 3 (1996). Diese wurden sehr sorgfältig ausgeführt werden, um rückwärts kompatibel zu einfache Annahme. Allerdings Abwärtskompatibilität ist eine Einschränkung für ein Sicherheits-Protokoll, für die es bedeuten kann, nach hinten anfällig.

    Damit war es entschieden zu brechen, rückwärts-Kompatibilität, und das neue Protokoll namens TLS 1.0 (1999). (Im Nachhinein hätte es klarer zu benennen TLS 4)

    Die Unterschiede zwischen diesem Protokoll und SSL 3.0 sind nicht dramatisch, aber Sie sind groß genug, dass TLS 1.0 und SSL 3.0 nicht zusammenarbeiten.

    TLS wurde zweimal überarbeitet, TLS 1.1 (2006) und TLS 1.2 (2008).

    Ab dem Jahr 2015, werden alle SSL-Versionen sind defekt und unsicher (POODLE attack) und Browser entfernen support. TLS 1.0 ist allgegenwärtig, aber nur 60% der Websites, die Unterstützung von TLS 1.1 und 1.2, sorry state of affairs.

    Wenn du daran interessiert bist, dieses Zeug, ich empfehle Moxie Marlinspike ist clever und komisch reden
    https://www.youtube.com/watch?v=Z7Wl2FW2TcA

    InformationsquelleAutor der Antwort Colonel Panic

  3. 9

    tls1.0 bedeutet, dass sslv3.1

    tls1.1 bedeutet sslv3.2

    tls1.2 bedeutet sslv3.3

    den rfc nur der name geändert, Sie finden konnte, tls1.0 hex-code 0x0301, was bedeutet, dass sslv3.1

    InformationsquelleAutor der Antwort zhenyu li

  4. 2

    TLS behält Abwärtskompatibilität mit SSL und deshalb das Kommunikations-Protokoll ist nahezu identisch in jeder der oben genannten Versionen hier. Die zwei wichtigsten Unterschiede zwischen SSL v. 3, TLS 1.0 und TLS 1.2 ist die pseudo-random-Funktion (PRF) und der HMAC-Hash-Funktion (SHA, MD5, handshake), was wird verwendet, um zu konstruieren, ein block von symmetrischen Schlüsseln für die Anwendung von Daten-Verschlüsselung (server-Schlüssel + client-Schlüssel + IV). Wesentlicher Unterschied zwischen TLS 1.1 und TLS 1.2, 1.2 erfordert die Verwendung von "explicit" IV zum Schutz gegen CBC-Attacken, obwohl es keine änderungen IFF oder-Protokoll erforderlich. TLS 1.2 IFF ist cipher-suite-spezifisch, was bedeutet, PRF ausgehandelt werden können, während handshake. SSL wurde ursprünglich von Netscape Communications entwickelt (historischen) und später verwaltet von der Internet Engineering Task Force (IETF, Strom). TLS wird verwaltet von der Network Working Group. Hier sind Unterschied zwischen PRF-HMAC-Funktionen in TLS:

    TLS 1.0 und 1.1

    PRF(secret, Etikett, Samen) = P_MD5(S1, label + Samen) XOR P_SHA-1(S2, label + seed);

    TLS 1.2

    PRF(secret, Etikett, Samen) = P_hash(secret, Etikett + Samen)

    InformationsquelleAutor der Antwort SensorVista

  5. 1

    "If it ain' T broken, don 'T touch it". SSL3 funktioniert in den meisten Szenarien (es war ein grundlegender Fehler gefunden SSL/TLS-Protokolls zurück im Oktober, aber dies ist ein Fehler von Anwendungen mehr als einer procol selbst), so dass die Entwickler nicht eilig mit dem upgrade Ihrer SSL-Module. TLS bringt eine Reihe von nützlichen Erweiterungen und security-algorithmen, aber Sie sind eine praktische Ergänzung und kein muss. Also TLS auf den meisten Servern bleibt eine option. Wenn beide, server und client support, wird es verwendet werden.

    Update: in '2016 SSL-3, und auch TLS-bis zu 1.2 gefunden werden anfällig für diverse Angriffe und migration zu TLS 1.2 empfohlen. Es existieren Angriffe auf Implementierungen von TLS 1.2, allerdings ist server-abhängig. TLS 1.3 ist derzeit in der Entwicklung. Und jetzt TLS 1.2 ist ein muss.

    InformationsquelleAutor der Antwort Eugene Mayevski 'Allied Bits

  6. 0

    https://hpbn.co/transport-layer-security-tls/ ist eine gute Einführung

    Das SSL-Protokoll wurde ursprünglich von Netscape zu aktivieren, die E-Commerce-Sicherheit der Transaktionen auf dem Web, die erforderlich Verschlüsselung zum Schutz der persönlichen Daten des Kunden, sowie die Authentifizierung und Integrität garantiert, um eine sichere Transaktion. Um dies zu erreichen, wird das SSL-Protokoll wurde implementiert, auf der Anwendungsebene, die direkt auf TCP (Abbildung 4-1), wodurch Protokolle (HTTP, E-Mail, instant messaging und viele andere) zu betreiben unverändert, während die Kommunikation-Sicherheit bei der Kommunikation über das Netzwerk.

    Wenn SSL verwendet wird, richtig, ein Drittanbieter-Beobachter können nur folgern die Endpunkte der Verbindung, Art der Verschlüsselung, sowie die Häufigkeit und Ungefähre Menge der gesendeten Daten, kann aber nicht Lesen oder zu ändern, der die eigentlichen Daten.

    SSL 2.0 war die erste öffentlich freigegebene version des Protokolls, aber es wurde schnell ersetzt von SSL 3.0 aufgrund einer Anzahl von entdeckten Sicherheitslücken. Weil das SSL-Protokoll wurde um einen proprietären Netscape, der IETF gebildet, die eine Anstrengung, um die Standardisierung des Protokolls, was in RFC 2246, das war im Januar 1999 veröffentlicht und wurde bekannt als TLS 1.0. Da ist dann auch die IETF hat sich weiter überarbeiten, das Protokoll zu Adresse, Sicherheitslücken, sowie zu verlängern seine Fähigkeiten: TLS 1.1 (RFC 2246), veröffentlicht im April 2006, TLS 1.2 (RFC 5246) im August 2008, und die Arbeit ist jetzt im Gange, um zu definieren, TLS 1.3.

    InformationsquelleAutor der Antwort Colonel Panic

Schreibe einen Kommentar