在浏览互联网时TLS,SSL我发现在 2018 年 6 月 30 日,IETF被禁止SSL并且TLS 1.0由于诸如POODLE(在此网站上找到它:https ://blog.pcisecuritystandards.org/are-you-ready-for-30-june -2018-sayin-goodbye-to-ssl-early-tls)。是否IETF或其他组织/公司正在替代SSL使用它的所有协议(不仅仅是HTTPS)仍然有效?
问问题
149 次
1 回答
1
在浏览有关 TLS 和 SSL 的互联网时,我发现在 2018 年 6 月 30 日,IETF 正在禁止 SSL 和 TLS 1.0 ....
虽然您没有提供此声明的来源(“浏览互联网”不是可用的来源),但我认为您在这里混淆了几件事:
- SSL 2.0 已损坏多年,SSL 3.0 也被认为已损坏(POODLE 攻击),TLS 1.0 有已知的弱点但未被认为严重损坏(POODLE 不适用于此处,除了没有正确实现标准的错误实现)
- IETF 并未在 2018 年 6 月 30 日禁止 TLS 1.0。相反,该日期来自与支付提供商相关的PCI 安全标准委员会。
从 SSL 和早期 TLS 迁移文档包括以下声明:
在 2018 年 6 月 30 日之后,所有实体必须停止使用 SSL/早期 TLS 作为安全控制,并仅使用协议的安全版本(允许某些 POS POI 终端在下面的最后一个项目符号中描述)
这里的“早期 TLS”指的是 TLS 1.0,“SSL”指的是 SSL 3.0,这意味着人们仍然可以在任何适用 PCI 要求的地方使用 TLS 1.1 和 TLS 1.2 以及新的 TLS 1.3。并且您可以在这些要求之外继续使用 TLS 1.0(即用于非支付网站),尽管建议使用支持良好且更安全的 TLS 1.2(或更好)。此外,所有现代操作系统和浏览器多年来都支持 TLS 1.2,因此无需担心。
于 2018-04-02T18:22:33.310 回答