Що таке TLS і як він порівнюється з SSL?

13

Чи є TLS "новою" версією SSL? Які функції він додає або проблеми безпеки вирішує?

Чи може щось, що підтримує SSL, підтримує TLS? Що б брало участь у переключенні? Чи варто комутатор?

Чому повідомлення електронної пошти надсилаються через "Opportunistic TLS" та VPN, які часто називають SSL VPN? Чи є різниця в технології, можливо, створюється місце для лінійки продуктів "TLS VPN"?

— goodguys_activate
джерело

11

TLS і SSL - тісно пов'язані технології.

По-перше, електронна пошта та опортуністична TLS. ESMTP має можливість виконувати фактичну частину передачі даних розмови за зашифрованим посиланням. Це частина протоколу і називається TLS протягом більшої частини свого існування. Це працює приблизно так:

-> EHLO foreignmailer.example.com
<- 250 Howdy, stranger
<- [list of capabilities, of which TLS is listed]
-> [Indicates it wants to start a TLS session]
<- [accepts negotioation]
-> [Mail actions, of which LOGIN might be one]

Після запуску сеансу TLS можуть бути доступні нові методи входу. Це приклад протоколу, який безпосередньо включає в себе захист рівня транзакцій. Використовувані сертифікати - це той самий тип сертифікатів, який використовується для SSL через HTTP.

Для прикладу послуги, яка не включає TLS безпосередньо, візьміть POP3-over-SSL. У цьому випадку безпечний сеанс узгоджується до узгодження фактичного протоколу. По суті, POP3 інкапсулюється всередині безпечного сеансу.

Загалом, якщо служба підтримує SSL, її можна розширити на підтримку TLS. Незалежно від того, чи це було зроблено, залежить від технічного обслуговування. Це означає, що TLS може замінити SSL у "SSL VPN".

VPN-адреси SSL відрізняються від своїх родичів на базі IPSec тим, що захищений сеанс проводиться на іншому рівні. VPN-адреси SSL виконують свою роботу так само, як і POP3-над-SSL, коли трафік інкапсулюється через існуюче TCP-з'єднання. VPN-адреси IPSec створюють захищений тунель на рівні IP-адреси , де SSL-VPN створюють захищений тунель на рівні TCP . Причина SSL VPN, схоже, переймає те, що їх простіше налаштувати та терпляче ставитися до поганих мережних умов. SSL VPN можуть і використовувати протокол TLS для забезпечення сеансу, хоча це залежить від виробника VPN.

Що стосується точних відмінностей рівня протоколу між SSL та TLS, я не можу потрапити. Стандарт TLS з'явився пізніше, ніж SSL, і тому включає деякі уроки, отримані в ранніх версіях SSL. SSLv3 був ратифікований ще в 1996 р., А TLS1.0 - у 1999 р., І подальша розробка протоколів, мабуть, обмежена пакетом TLS. Минуло довгий час, щоб SSLv1 та v2 пішли. TLS є явним наступником пакету SSL.

— sysadmin1138
джерело

Коли SSLv3 повинен піти і замінити його TLS? Будь-які ситуації сьогодні чи найближчим часом, що це було б актуальним?

— goodguys_activate

@ MakerOfThings7 Що стосується підтримки веб-переглядача, то він піде, як тільки 90% користувачів, які активно переглядають, підтримують TLS, не відмовляючись від SSLv3. Це, мабуть, трапиться через найближчі 5-7 років. Це може змінитися, якщо в SSLv3 буде виявлено легко експлуатувати слабкість, що призведе до більш швидкого розгортання.

— sysadmin1138

2

SSL v 3 та TLSv1 були порушені під час атаки BEAST luxsci.com/blog/… ), а SSL v3 знову через POODLE ( arstechnica.com/security/2014/10/… ), сподіваємось, ми можемо наполягати на тому, щоб TLS 1.2 використовувався більше часто

— Джим Б

Характеристики для TLS 1.2 знаходяться тут tools.ietf.org/html/rfc5246, а для 1.3 (наразі проект) тут ietf.org/id/draft-ietf-tls-tls13-02.txt

— Jim B

5

TLS по суті є оновленням до SSL. Зміни до нього не є кардинальними, але досить вагомими, щоб порушити сумісність із SSL3.0.

Стаття у Вікіпедії висвітлює її широко, але в досить зрозумілому розумінні. (Я не маю на увазі RTFM, але я не хочу все там повторювати.)

Вони використовуються аналогічно, і досі їх називають SSL. В основному ви вибираєте свою схему шифрування як ту, чи іншу.

— gWaldo
джерело

5

+1, Найбільша відмінність полягає в тому, що SSL - це неявне шифрування, тобто з'єднання починається з рукостискання шифрування і нічого не робить, поки це не буде успішним. TLS є явним, з'єднання починається і в якийсь момент клієнт просить почати шифрування зв'язку.

— Chris S

1

@Chris: Ви впевнені в цьому? opensslначебто не погоджуються. (Багато програм кажуть "TLS", коли вони означають "STARTTLS".)

— user1686

@Grawity, я думаю, що ви плутаєте резервний режим TLS з SSL. У багатьох додатках буде використовуватися обгортка TLS, яка розпізнає SSL узгодження і негайно запускає рукостискання. Якщо додаток працює з чистою TLS (без резервного копіювання), він повинен видати STARTTLS (або еквівалент, це залежить від протоколу, хоча більшість протоколів використовують це) до початку рукостискання шифрування.

— Chris S

Усі ці коментарі стосуються SSL / TLS, які використовуються іншими протоколами. SSLv3 і TLSv1.0 майже ідентичні з відмінностями, відомими лише фахівцям протоколу.

— Насько

Також TLS не порушує сумісність із SSL, будь ласка, перевірте свої джерела.

— Насько

3

Як вже вказували люди, SSL - це протокол, розроблений Netscape в минулому. В якийсь момент орган зі стандартів IETF вирішив прийняти протокол SSLv3 як стандартний, тому зміни змінилися дуже тонко і він отримав назву TLSv1.0.

Тож для більшості людей TLSv1.0 майже еквівалентний SSLv3. Причина, по якій люди все ще називають сімейство протоколів SSL, пов’язана з історичними причинами - всі звикли до імені, тому продовжують його використовувати. Цілком можливо, що VPN використовує TLS під обкладинкою, але назва маркетингу все ще залишається як SSL VPN.

Починаючи з TLSv1.0, відбулися дві редакції стандарту, і тепер він є на TLSv1.2, який, хоча і досі сумісний, має деякі суттєві зміни. Через дизайн SSL / TLS і клієнт, і сервер можуть домовитись, яку версію протоколу вони хочуть використовувати, тому клієнти, що використовують TLSv1.0, все ще можуть спілкуватися з серверами, що реалізують TLSv1.2, і навпаки.

Зважаючи на сумісність між усіма версіями протоколу, "перемикання" не відбувається, оскільки вони однакова сім'я. Це питання "чи потрібно використовувати новішу версію?". Як і в будь-якій іншій області, відповідь на це питання залежатиме від того, чи має поточна версія, яку ви використовуєте, якісь обмеження чи ні. Наразі проблем із використанням SSLv3 немає, але більшість клієнтів та серверів там працюють з TLSv1.0.

Сподіваюсь, це трохи прояснить картину. Якщо ні, то дайте мені знати, що все ще бентежить, я спробую пояснити далі.

— Наско
джерело

0

Чи є TLS "новою" версією SSL? Які функції він додає або проблеми безпеки вирішує?

TLS є Т ransport L Ейер S ecurity і , як правило , відноситься до команди STARTTLS в поштових серверах SMTP. Він може або не може використовувати SSL (наприклад, SEE palm versamal), але загалом SSL є основною системою безпеки, що використовується. TLS також використовувався для інших цілей (як HTTP), і остання специфікація RFC знаходиться у версії 1.2

Чи може щось, що підтримує SSL, підтримує TLS? Що б брало участь у переключенні? Чи варто комутатор?

Зазвичай, але будь-яким іншим, при TLS, який розглядається, ви маєте на увазі поштові сервери, тому конкретно поштові сервери, які мають сервер SSL, можуть використовувати TLS для передачі пошти та отримання пошти.

Чому повідомлення електронної пошти надсилаються через "Opportunistic TLS" та VPN, які часто називають SSL VPN? Чи є різниця в технології, можливо, створюється місце для лінійки продуктів "TLS VPN"?

Це пахне маркетинговими м'ясниками, які потрапили в кімнату. "Опортуністичний TLS" просто означає, що якщо starttls не поверне 220 (готовий до запуску TLS), продовжуйте та відправляйте електронний лист у будь-якому разі. Зауважте, що TLS є варіантом SENDER, а не варіантом прийому. Можливо, деякі поштові сервери можуть відмовити пошті, що не належить до TLS, але це буде виключенням, а не правилом.

TLS також підтримує взаємну аутентифікацію, а не просто шифрування з'єднання.

Надсилання електронної пошти через VPN (будь то SSL чи інша схема захисту) просто робить захист поштових серверів істотним значенням, ви можете використовувати TLS через VPN (і ви навіть можете використовувати TLS як схему безпеки VPN), але це не обов'язково впливає на те, як пошта транспортується, якщо між поштовими серверами зашифровано лише з'єднання VPn (тому з вихідних та призначених поштових серверів вони можуть передавати стандартний прозорий текст)

— Джим Б
джерело

Дозволю собі не погодитися. TLS взагалі не посилається на команду STARTTLS в SMTP. Будь-яка прочитана вами документація посилатиметься на TLS як протокол TLS, який використовується SMTP для захисту свого трафіку. Тепер, коли мова йде про "Opportunistic TLS", то ви можете залучати протоколи вищого рівня, які мають "можливість" використовувати TLS чи ні.

— Насько

Ви, звичайно, не погоджуєтеся, але якщо ви запитаєте 10 адміністраторів, для чого TLS використовується для 9, буде сказано електронною поштою. Навіть питання передбачає електронні листи щодо TLS. Я також зазначу, що TLS використовується для інших речей. RFC 2434 визначає, які шифри можуть бути узгоджені в повідомленні сервера, це не має нічого спільного з умовно-патологічними TLS. SMTP не визначає будь-яке шифрування. RFC 3207 визначає стартали як розширення для сервера

— Джим Б

"TLS" посилається лише на "STARTTLS" неправильно. STARTTLS - це лише ключове слово для узагальнення підходу, але воно потребує інтеграції в початковий протокол. Команда STARTTLS виглядає схоже в SMTP та IMAP, але її потрібно інтегрувати в синтаксис у LDAP; той же механізм у S-HTTP (не HTTPS) не використовує це ключове слово. Це не тому, що поштові клієнти пропонують вибір між "SSL" та "TLS", щоб означати вибір між початковим та умовно-патогенним SSL / TLS, щоб їх ім'я було правильним. Надіваюсь, деякі SMTPS-сервери дуже добре підтримують TLSv1. Ви також можете побачити деякі SSLv3 після використання STARTTLS.

— Бруно

1

Ця відповідь неправильна. STARTTLS - команда, яка використовується у багатьох протоколах (наприклад, SMTP) для ініціювання TLS або SSL. Крім цього вони не мають значення.

— Нікос