我开始学习信息安全并从OpenSSL开始。但我在维基百科上读到SSL存在安全问题,这些问题仍未得到解决,因此任何人都必须使用TLS代替。这是真的吗?这是否意味着SSL现在已经过时了?(因为出现了其他保护信息的方法而不是修复SSL)
我开始学习信息安全,并且从OpenSSL学起。但是我在维基百科上看到SSL存在安全隐患,这些问题至今未得到解决,因此任何人都应该使用TLS。这是事实吗?这是否意味着SSL现在已经被淘汰了?(因为有其他方式来保护信息而不是修复SSL)
2个回答
6
TLS只是原先名为SSL的协议的新名称。如果您查看协议级别,您会发现TLS 1.0实际上是SSL 3.1,TLS 1.1是SSL 3.2等等。版本包括SSL 3.0及以下都被认为存在缺陷,不应再使用。
由于这种命名规则,在实践中,“SSL”和“TLS”通常用于指代同一协议组,并且经常使用“SSL/TLS”来指代此协议组。通常只有在添加版本号时才指代特定版本。诸如OpenSSL、PolarSSL、MatrixSSL等库实现了该协议组,即SSL和TLS。
为了增加这种命名混淆,“SSL”经常与诸如SMTP(发送邮件)或IMAP(访问邮件)之类的协议一起使用,表示从开始就建立安全连接,而“TLS”在此上下文中表示在发出特定的“STARTTLS”命令后建立安全连接。最好使用“implicit”和“explicit” SSL/TLS。
由于这种命名规则,在实践中,“SSL”和“TLS”通常用于指代同一协议组,并且经常使用“SSL/TLS”来指代此协议组。通常只有在添加版本号时才指代特定版本。诸如OpenSSL、PolarSSL、MatrixSSL等库实现了该协议组,即SSL和TLS。
为了增加这种命名混淆,“SSL”经常与诸如SMTP(发送邮件)或IMAP(访问邮件)之类的协议一起使用,表示从开始就建立安全连接,而“TLS”在此上下文中表示在发出特定的“STARTTLS”命令后建立安全连接。最好使用“implicit”和“explicit” SSL/TLS。
- Steffen Ullrich
4
SSL作为一种协议是不安全的,应该使用TLS代替。然而,人们经常使用“SSL”这个名称来指代SSL和TLS。此外,它通常作为后备措施包含在许多系统中,以便连接至少可以具有一定的安全性,如果TLS不可用。这样做的优点是值得怀疑的,因为有些人认为这样会让开发人员变得懒惰,甚至意识不到他们正在使用一种不安全的方法。
- childofsoong
网页内容由stack overflow 提供, 点击上面的可以查看英文原文,
原文链接
原文链接