我必须保护Web服务,我可以使用的协议是SSLv2或SSLv3或TLSv1.2或SSLv3与TLSv1.2相结合。我知道SSLv3在SSL方面是最安全的协议,TLSv1.2在TLS方面也是最安全的。但问题是我必须使用上述协议来保护我的Web服务?如果有答案的话我也想知道原因。 谢谢
答案 0 :(得分:1)
您的声明不正确,TLS 1.2+比SSLv3更安全。由于最近的漏洞,如Poodle Attack,SSLv3并不安全。您绝对应该使用TLS 1.2+来保护您的应用程序。有一个很好的阅读here。
答案 1 :(得分:1)
TLS 是SSL加密协议的升级版本,可以在互联网上实现更安全的通信。由于POODLE和其他SSL漏洞,SSLv3已弃用。
所以,我建议你可以使用 TLS 1.2协议,因为它是在2008年8月定义的并且今天使用。 TLSv1.2协议与SSL证书兼容,可通过Internet为您的Web服务提供增强的通信安全性。 Get more details
答案 2 :(得分:0)
SSLv2早已不复存在,大多数客户不再支持它,因为它不安全。几年前由于POODLE攻击,SSLv3也发生了同样的事情,但你仍然发现有相当多的系统支持SSLv3。 TLS 1.0和1.1存在设计问题,因此建议不再使用这些,但大多数安装仍然支持这些。如果你可以自由选择客户端和服务器,你肯定应该使用目前最新且被认为是安全的TLS 1.2。一旦TLS 1.3最终被指定,它可能会被替换为未来几年(甚至今年)的最新版本,但是在TLS堆栈支持之前需要一些时间。
请注意,安全性不仅取决于协议版本,还取决于正确选择密码,适当的证书以及证书的正确验证。
除此之外,SSL和TLS之间没有真正的区别:TLS 1.0实际上是SSL 3.1。实际上,SSL 2.0和SSL 3.0之间的差异远大于SSL 3.0和TLS 1.0之间的差异。