Я начинаю изучать защиту информации и начинаю с OpenSSL. Но я прочитал в Википедии, что у SSL есть проблемы с безопасностью, которые все еще не решены, и кто-то должен вместо этого использовать TLS. Это правда? Означает ли это, что SSL устарел? (поскольку вместо фиксации SSL появляется другой способ защиты информации)

4
AeroSun 25 Фев 2015 в 01:27

2 ответа

Лучший ответ

TLS - это просто новое имя протокола, ранее называвшегося SSL. Если вы посмотрите на уровень протокола, вы увидите, что TLS 1.0 - это практически SSL 3.1, TLS 1.1 - это SSL 3.2 и т. Д. Версии до SSL 3.0 включительно считаются сломанными и больше не должны использоваться. Из-за такого именования на практике «SSL» и «TLS» часто используются для обозначения одной и той же группы протоколов, и часто вы также можете найти «SSL / TLS» для обозначения этой группы протоколов. Обычно, только если добавлен номер версии, они относятся только к этой версии. Такие библиотеки, как OpenSSL, PolarSSL, MatrixSSL и т. Д., Реализуют группу протоколов, то есть SSL и TLS.

Чтобы добавить к этой путанице с именами, «SSL» часто используется вместе с протоколами, такими как SMTP (отправка почты) или IMAP (доступ к почте), чтобы обозначать безопасное соединение с самого начала, в то время как «TLS» в этом контексте используется для обозначения безопасного соединения после выдачи конкретная команда STARTTLS. Вместо этого лучше использовать «неявный» и «явный» SSL / TLS.

5
Steffen Ullrich 25 Фев 2015 в 05:58

SSL как протокол небезопасен, и вместо него следует использовать TLS. Однако люди часто используют имя «SSL» для обозначения SSL, а также TLS. Кроме того, он часто включается во многие системы в качестве резервной меры, чтобы соединения могли иметь некоторую безопасность, по крайней мере, если TLS недоступен. Достоинства такого подхода сомнительны, поскольку некоторые люди считают, что это позволяет разработчикам лениться или даже не осознавать, что они используют небезопасный метод.

4
childofsoong 24 Фев 2015 в 22:30