根据维基百科:http://en.wikipedia.org/wiki/Transport_Layer_Security
似乎TLS是SSL的替代品,但大多数网站仍在使用SSL?
Bru*_*uno 57
简而言之,TLSv1.0或多或少是SSLv3.1.您可以在ServerFault上找到有关此问题的更多详细信息.
大多数网站实际上至少支持SSLv3和TLSv1.0,正如本研究所示(Lee,Malkin和Nahum的论文:SSL/TLS服务器的加密强度:当前和最近的实践,IMC 2007)(从IETF TLS列表获得的链接)).超过98%的人支持TLSv1 +.
我认为SSLv3仍在使用的原因是遗留支持(尽管现在大多数浏览器都支持TLSv1和一些TLSv1.1甚至TLSv1.2).直到不久之前,一些发行版默认仍然使用SSLv2(被认为是不安全的)以及其他发行版.
(你也可能会发现这个问题很有意思,虽然它是关于TLS的使用模式而不是SSL与TLS(你实际上可能与SSL具有相同的模式).这无论如何都不适用于HTTPS,因为HTTPS使用SSL/TLS从连接开始.)
Col*_*nic 23
来自http://www.thoughtcrime.org/blog/ssl-and-the-future-of-authenticity/
在90年代早期,在万维网诞生之初,Netscape的一些工程师开发了一个用于发出安全HTTP请求的协议,他们提出的称为SSL.鉴于当时关于安全协议的相对稀缺的知识体系,以及Netscape所有人的巨大压力,他们的努力只能被视为非常英雄.令人惊讶的是,SSL已经持续了很长时间,与同一年份的许多其他协议相比.不过,从那以后我们肯定学到了很多,但关于协议和API的事情是,回归很少.
SSL协议有两个主要更新,SSL 2(1995)和SSL 3(1996).这些都是经过精心设计的,以便向后兼容,以便于采用.然而,向后兼容性是对安全协议的约束,对于该安全协议,它可能意味着向后易受攻击.
因此决定打破向后兼容性,并且新协议命名为TLS 1.0(1999).(事后看来,将它命名为TLS 4可能更清楚)
此协议与SSL 3.0之间的差异并不显着,但它们非常重要,以至于TLS 1.0和SSL 3.0无法互操作.
TLS已修订两次,TLS 1.1(2006)和TLS 1.2(2008).
截至2015年,所有SSL版本都被破坏且不安全(POODLE攻击)和浏览器正在取消支持.TLS 1.0无处不在,但只有60%的网站支持TLS 1.1和1.2,这是一种令人遗憾的事态.
如果你对这些东西感兴趣,我推荐Moxie Marlinspike在https://www.youtube.com/watch?v=Z7Wl2FW2TcA上的聪明而有趣的演讲
小智 9
tls1.0表示sslv3.1
tls1.1表示sslv3.2
tls1.2表示sslv3.3
rfc只是更改了名称,你可以发现tls1.0的十六进制代码是0x0301,这意味着sslv3.1
| 归档时间: |
|
| 查看次数: |
48622 次 |
| 最近记录: |