4

我开始学习信息保护,从 OpenSSL 开始。但我在 Wikipedia 上读到 SSL 的安全问题仍未解决,任何人都必须改用 TLS。这是真的吗?这是否意味着 SSL 现在已过时?(因为出现了其他信息保护方式而不是修复 SSL)

4

2 回答 2

6

TLS 只是以前名为 SSL 的协议的新名称。如果您查看协议级别,您会发现 TLS 1.0 实际上是 SSL 3.1,TLS 1.1 是 SSL 3.2 等等。 SSL 3.0 之前的版本(包括 SSL 3.0)被认为已损坏,不应再使用。由于这种命名在实践中“SSL”和“TLS”通常用于表示相同的协议组,并且您经常会发现“SSL/TLS”也指代该协议组。通常只有在添加版本号时,它们才仅引用此版本。OpenSSL、PolarSSL、MatrixSSL 等库实现了协议组,即 SSL 和 TLS。

为了增加这种命名混淆,“SSL”通常与 SMTP(发送邮件)或 IMAP(访问邮件)等协议一起使用,表示从一开始就进行安全连接,而在这种情况下使用“TLS”表示发出安全连接后的安全连接具体STARTTLS命令。最好改用“隐式”和“显式”SSL/TLS。

于 2015-02-25T05:58:46.223 回答
4

SSL 作为一种协议是不安全的,应该使用 TLS。但是,人们经常使用名称“SSL”来指代 SSL 以及 TLS。此外,它通常作为后备措施包含在许多系统中,因此至少在 TLS 不可用时,连接可以具有一定的安全性。这样做的好处是值得怀疑的,因为有些人认为这会让开发人员变得懒惰,甚至没有意识到他们正在使用不安全的方法。

于 2015-02-24T22:30:38.567 回答