SSL 现在过时了吗?
Is the SSL now obsolete?
我开始学习信息保护,是从OpenSSL开始的。但我在维基百科上读到,SSL 在安全方面存在问题,但仍未解决,任何人都必须改用 TLS。是真的吗?这是否意味着 SSL 现在已过时? (因为出现了其他信息保护方式而不是修复 SSL)
SSL 作为一种协议是不安全的,应该改用 TLS。但是,人们经常使用名称 'SSL' 来指代 SSL 和 TLS。此外,它通常作为后备措施包含在许多系统中,因此连接可以具有一定的安全性,至少,如果 TLS 不可用。这样做的优点值得怀疑,因为有些人认为这会让开发人员变得懒惰,或者甚至没有意识到他们正在使用不安全的方法。
TLS 只是以前名为 SSL 的协议的新名称。如果您查看协议级别,您会发现 TLS 1.0 实际上是 SSL 3.1,TLS 1.1 是 SSL 3.2 等。直到并包括 SSL 3.0 的版本被认为已损坏,不应再使用。
由于这种命名方式,在实践中 "SSL" 和 "TLS" 通常用于表示相同的协议组,并且您经常会发现 "SSL/TLS" 也指代该协议组。通常只有在添加版本号时,它们才指的是这个版本。 OpenSSL、PolarSSL、MatrixSSL 等库实现了协议组,即 SSL 和 TLS。
为了增加这种命名混乱,"SSL" 通常与 SMTP(发送邮件)或 IMAP(访问邮件)等协议一起使用,表示从一开始就是安全连接,而 "TLS" 用于此上下文表示发出特定 STARTTLS 命令后的安全连接。最好用 "implicit" 和 "explicit" SSL/TLS 代替。
我开始学习信息保护,是从OpenSSL开始的。但我在维基百科上读到,SSL 在安全方面存在问题,但仍未解决,任何人都必须改用 TLS。是真的吗?这是否意味着 SSL 现在已过时? (因为出现了其他信息保护方式而不是修复 SSL)
SSL 作为一种协议是不安全的,应该改用 TLS。但是,人们经常使用名称 'SSL' 来指代 SSL 和 TLS。此外,它通常作为后备措施包含在许多系统中,因此连接可以具有一定的安全性,至少,如果 TLS 不可用。这样做的优点值得怀疑,因为有些人认为这会让开发人员变得懒惰,或者甚至没有意识到他们正在使用不安全的方法。
TLS 只是以前名为 SSL 的协议的新名称。如果您查看协议级别,您会发现 TLS 1.0 实际上是 SSL 3.1,TLS 1.1 是 SSL 3.2 等。直到并包括 SSL 3.0 的版本被认为已损坏,不应再使用。 由于这种命名方式,在实践中 "SSL" 和 "TLS" 通常用于表示相同的协议组,并且您经常会发现 "SSL/TLS" 也指代该协议组。通常只有在添加版本号时,它们才指的是这个版本。 OpenSSL、PolarSSL、MatrixSSL 等库实现了协议组,即 SSL 和 TLS。
为了增加这种命名混乱,"SSL" 通常与 SMTP(发送邮件)或 IMAP(访问邮件)等协议一起使用,表示从一开始就是安全连接,而 "TLS" 用于此上下文表示发出特定 STARTTLS 命令后的安全连接。最好用 "implicit" 和 "explicit" SSL/TLS 代替。