TLS与SSL-5件事(差异,协议和握手)

在线安全对于网站的成功至关重要,而了解TLS与SSL之间的区别是保护敏感数据的又一步.


您已经听说过流行语:在线隐私,网络犯罪,恶意软件,网络钓鱼,DDoS攻击等等。保护您自己和您的站点免受这些安全漏洞影响的重要组成部分是计算机(PC,电话等)与Web服务器之间的通信数据的端到端加密。.

我们生活在一个数字连接日益紧密的世界中,在这个世界中,传输层安全性(TLS)网络协议对于保护人们免受数字伤害至关重要。 TLS协议由HTTPS协议(以及其他协议)使用,以加密和认证网络上任何通信所涉及的计算机。那么,我们从哪里开始呢?让我们窥探TLS,SSL和HTTPS证书的世界.

1.拥有免费SSL / TLS证书的主机

过去,获得证书对于网站所有者而言通常很复杂。托管服务提供商花费大量时间将不同的工具集成到他们的业务中并管理手动流程。对于小型和/或非商业性的网络财产所有者而言,证书的成本有时是一个禁止因素。.

2014年,包括电子前沿基金会,Mozilla,Cisco和Akamai在内的一系列公司和非营利组织宣布了Let’s Encrypt –一个免费,自动化和开放的证书颁发机构。就当今使用的域验证证书的数量而言,该项目已证明是开创性的。在此处查找有关其自动证书管理环境(ACME)工具的更多信息以及如何开始.

赛门铁克于2016年启动了“加密无处不在”计划,旨在通过轻松的证书流程确保到2018年每个合法网站的安全.

赛门铁克的计划可帮助网络托管合作伙伴向托管客户免费提供基本加密。赛门铁克向主机提供基本证书,主机又可以向任何新客户或续订客户(通过其cPanel接口)提供完全集成的SSL加密。.

因此,在当今免费证书,低成本工业级证书和更好的证书管理工具中,很少有人反对将HTTPS用作站点所有者。以下是带有免费SSL证书的最受欢迎的托管服务提供商:

2. TLS是现代加密标准(SSL较旧)

简而言之: TLS是当今每个人都使用的加密。 SSL已过时. 人们说SSL时的意思是TLS!

SSL / TLS表示“安全套接字层”和“传输层安全性”

传输层安全性和安全套接字层(SSL)都是网络协议,它们允许在Web服务器和Web浏览器之间私密安全地传输数据。.

从技术上讲,TLS由两部分组成:

  1. TLS握手层 管理将使用哪种密码(加密算法的类型),身份验证(使用特定于您的域名和组织的证书)以及密钥交换(基于证书中的公私钥对)。握手过程仅执行一次即可为双方建立安全的网络连接.
  2. TLS记录层 从用户应用程序获取数据,对其进行加密,将其分段为适当的大小(由密码确定),然后将其发送到网络传输层.

TLS建立了一个加密的双向网络隧道,以使任意数据在两个主机之间传输。 TLS最常与其他Internet协议(例如HTTPS,SSH,FTPS和安全电子邮件)结合使用.

SSL握手和图层图形

TLS / SSL由Internet协议套件(TCP / IP)的应用程序层中的两层组成.

在1999年,TLS取代了旧的SSL协议,成为大多数人都使用的加密技术。进行此更改主要是为了避免与创建SSL的Netscape公司发生法律问题,以便可以将该协议开发为开放标准,所有人均可免费使用.

HTTP与HTTPS

HTTPS是TLS协议中嵌入的HTTP协议。 HTTP负责所有网络冲浪机制,而TLS负责加密通过网络发送的数据并使用证书验证服务器主机的身份。.

越来越多的Web服务器也只使用HTTPS,这不仅是出于安全原因,而且还出于其他实际考虑:

  • 现在,某些浏览器供应商要求某些浏览器功能使用HTTPS (例如地理位置)。 Google和Firefox打算逐步淘汰其浏览器中的非加密HTTP。因此,浏览器社区正在推动将HTTPS作为标准.
  • 用户期望一个指示安全性的URL栏 (例如挂锁图标)而没有任何安全警告,尤其是在电子商务网站和其他具有隐私敏感数据的网站上.

尽管这尚未得到Google的确认,但它可能也会提高您的搜索引擎排名。.

3. SSL,SSL v3和TLS协议之间的差异

这些年来,已经发布了多个版本的SSL和TLS:

  • 1995年:SSL v2是Netscape首次公开发布SSL.
  • 1996年:SSL v3是一个新版本,修复了SSL v2的多个安全设计缺陷。到2004年,由于POODLE攻击,v3被认为是不安全的.
  • 1999年:TLS v1.0已发布,具有用于向后兼容的SSL后备机制.
  • 2006年:TLS v1.1
  • 2008年:TLS v1.2是当前的TLS标准,在大多数情况下使用.
  • TLS v1.3 目前仍只是工作规范草案.

大多数应用程序(例如浏览器)也与某些较旧的SSL协议版本兼容,尽管SSL正在逐步淘汰以支持更好的TLS安全性。.

4.利与弊

对于使用加密来保护其站点(和客户)敏感数据的用户而言,好处很多。对于电子商务和医疗保健相关的网站尤其如此.

优点:SSL / TLS安全

TLS安全性可通过两种方式使您网站的流量受益:

  1. 防止入侵者被篡改 网站和网络浏览器之间的通信。入侵者可以是恶意广告攻击者,也可以是将广告注入网页的诸如ISP或酒店之类的良性入侵者。绝对不能通过网络泄露敏感数据,例如用户的登录凭据,信用卡详细信息和电子邮件信息。.
  2. 防止入侵者被动收听 与服务器通信。这是一个难以捉摸但不断增长的安全威胁(也已由Snowden泄漏确认).

这些专家的重要性不可低估,尤其是对于那些依靠销售获得并保持用户信任的电子商务网站而言.

缺点:SSL / TLS“握手”

听起来很不错,TLS有一些缺点:

  1. TLS将增加延迟 您网站的流量.
  2. 握手需要大量资源. 它使用非对称加密来建立会话密钥,然后允许客户端和服务器切换到更快的对称加密。.
  3. TLS将增加服务器管理的复杂性. 您将需要在Web服务器上安装证书,并保持该证书的有效性。如今,有用于(域验证)证书管理的自动化工具.
  4. MaxCDN发现5毫秒的延迟 测试未加密连接时的加密连接。测试显示,CPU使用率的峰值也增加了约2%。但是,“即使有数十个并行请求和数百个顺序请求,CPU使用率也永远不会超过5%。”

至于整个连接的性能,MaxCDN得出结论:“加密确实在初始连接过程中增加了一步。与未加密的连接相比,正在进行的连接的开销可以忽略不计。”

借助即将推出的HTTP / 2标准,由于其并行设计(数据交换所需的网络往返次数更少),建立TLS连接的速度将大大提高.

此外,尽管HTTP / 2标准本身不需要使用加密,但是大多数客户端实现(Firefox,Chrome,Safari,Opera,IE,Edge)都表示将仅支持基于TLS的HTTP / 2,这实际上使加密成为可能。强制性的.

5. TLS / SSL证书的类型

直到最近,整个网络似乎都趋向于HTTPS。可以向证书颁发机构请求证书,证书颁发机构有很多提供者。阅读有关选择SSL证书的文章中提供的各种证书选项,或者继续阅读,简要介绍以下三种主要类型.

扩展验证(EV)

EV证书带有绿色地址栏 — Internet上公认的信任象征。 EV证书是主要的TLS证书。对于安全性和消费者信任至关重要的站点,例如大型电子商务站点,应认真考虑EV证书.

带有EV证书的地址栏的屏幕快照

拥有EV证书的网站在浏览器地址栏中吹嘘绿色信任栏.

但是,这些证书是最昂贵的,因为根据这些签发标准进行了扩展的组织验证过程.

组织验证(OV)

OV证书不带有绿色地址栏 但会激活许多浏览器信任指标。 OV证书要求业务由证书颁发机构验证。该组织的名称将列在证书上,以加强信任.

OV被公司,政府和其他想要为其访问者提供额外信任的实体使用。如果出于任何原因无法获得EV证书,则OV证书对于电子商务网站尤为重要.

域验证(DV)

DV证书提供了行业标准的加密(与其他证书类型处于同一级别),但没有其他很多。除了成本低(甚至免费)外,域验证(DV)证书的另一个好处是它可以在短短几分钟内颁发,因为证书颁发机构仅需验证您是否拥有要保护的域即可-通常这很常见。自动化过程.

几分钟之内即可开始构建SSL保护的网站

现在,您知道使用HTTPS保护网站所需的条件,可用的TLS证书选项以及Internet用户的信任期望,您可以开始在自己的网站上实施加密最佳做法了.

前往SSL商店,在这个令人困惑的Web证书和安全性缩写世界中,它是出色的合作伙伴。他们将提供友好的,安全性合格的和24/7的客户支持-最好的网站托管服务商绝不会过时.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me