我开始学习信息保护并从OpenSSL开始。但是我在维基百科上读到,SSL在安全性方面存在问题仍然没有解决,任何人都必须使用TLS。这是真的吗? SSL现在已经过时了吗? (因为出现了其他信息保护方式而不是修复SSL)
答案 0 :(得分:5)
TLS只是之前命名为SSL的协议的新名称。如果您查看协议级别,您会看到TLS 1.0实际上是SSL 3.1,TLS 1.1是SSL 3.2等。版本高达并包括版本SSL 3.0被视为已损坏,不应再使用。 由于这在实践中的命名" SSL"和" TLS"通常用于表示相同的协议组,通常您也会发现" SSL / TLS"引用此协议组。通常只有在添加版本号时才会引用此版本。诸如OpenSSL,PolarSSL,MatrixSSL等的库实现协议组,即SSL和TLS。
添加此命名混淆" SSL"通常与SMTP(发送邮件)或IMAP(访问邮件)等协议一起使用,意味着从开始时的安全连接,而TLS"在此上下文中用于表示发出特定STARTTLS命令后的安全连接。最好使用"含义"和"明确"改为SSL / TLS。
答案 1 :(得分:4)
SSL作为协议是不安全的,应该使用TLS。但是,人们经常使用“SSL'引用SSL以及TLS。此外,它通常作为后备措施包含在许多系统中,因此,如果TLS不可用,连接可以具有一定的安全性。这样做的好处值得怀疑,因为有些人认为这会让开发人员变得懒惰,或者甚至没有意识到他们会使用不安全的方法。