Назад | Перейти на главную страницу

Что такое TLS и чем он отличается от SSL?

Является ли TLS «новой» версией SSL? Какие функции он добавляет или решает проблемы безопасности?

Может ли что-нибудь, что поддерживает SSL, поддерживать TLS? Что потребуется для переключения? Стоит ли переключатель?

Почему электронные письма отправляются через «оппортунистический TLS» и VPN, часто называемые SSL VPN? Есть ли разница в технологии, возможно, есть место для линейки продуктов «TLS VPN»?

TLS и SSL - тесно связанные технологии.

Во-первых, электронная почта и оппортунистический TLS. ESMTP имеет возможность выполнять фактическую часть сеанса передачи данных по зашифрованному каналу. Это часть протокола, который большую часть времени назывался TLS. Это работает примерно так:

-> EHLO foreignmailer.example.com
<- 250 Howdy, stranger
<- [list of capabilities, of which TLS is listed]
-> [Indicates it wants to start a TLS session]
<- [accepts negotioation]
-> [Mail actions, of which LOGIN might be one]

После запуска сеанса TLS могут быть доступны новые методы входа в систему. Это пример протокола, который напрямую включает в себя безопасность на уровне транзакций. Используемые сертификаты аналогичны сертификатам, используемым для SSL через HTTP.

В качестве примера службы, которая не включает TLS напрямую, возьмем POP3-over-SSL. В этом случае безопасный сеанс согласовывается перед фактический протокол согласовывается. По сути, POP3 инкапсулируется внутри защищенного сеанса.

Как правило, если служба поддерживает SSL, ее можно расширить для поддержки TLS. Было ли это сделано, зависит от сопровождающих службы. Это означает, что TLS может заменить SSL в «SSL VPN».

SSL VPN отличаются от своих собратьев, основанных на IPSec, тем, что безопасный сеанс выполняется на другом уровне. SSL VPN работают так же, как POP3-over-SSL, в том смысле, что трафик инкапсулируется через существующее TCP-соединение. IPSec VPN создают IP-уровень безопасный туннель, где SSL VPN создают TCP-уровень безопасный туннель. Причина, по которой SSL VPN, похоже, берет верх, заключается в том, что их проще настроить и они более устойчивы к плохим условиям сети. SSL VPN могут использовать и используют протокол TLS для защиты сеанса, хотя это зависит от производителя самой VPN.

Что касается точных различий на уровне протоколов между SSL и TLS, я не могу в них разобраться. TLS как стандарт появился позже, чем SSL, и поэтому включает в себя некоторые уроки, извлеченные из ранних версий SSL. SSLv3 был ратифицирован еще в 1996 году, а TLS1.0 - в 1999 году, и дальнейшее развитие протокола, похоже, ограничивается пакетом TLS. SSLv1 и v2 исчезли очень долго. TLS - явный преемник пакета SSL.

По сути, TLS - это обновление до SSL. Изменения в нем не кардинальные, но достаточно существенные, чтобы нарушить совместимость с SSL3.0.

В Статья в Википедии освещает это подробно, но в разумно понятных терминах. (Я не имею в виду RTFM, но не хочу там все повторять.)

Они используются аналогичным образом и до сих пор называются SSL. По сути, вы выбираете одну или другую схему шифрования.

SSL, как уже отмечалось, - это протокол, разработанный Netscape в прошлом. В какой-то момент орган по стандартизации IETF решил принять протокол SSLv3 в качестве стандартного, поэтому он претерпел очень тонкие изменения и получил название TLSv1.0.

Таким образом, для большинства людей TLSv1.0 почти эквивалентен SSLv3. Причина, по которой люди все еще называют семейство протоколов SSL, связана с историческими причинами - все привыкли к этому имени, поэтому они продолжают его использовать. VPN вполне может использовать TLS под прикрытием, но маркетинговое название по-прежнему остается как SSL VPN.

Начиная с TLSv1.0, было две версии стандарта, и теперь это TLSv1.2, который, хотя и по-прежнему совместим, имеет некоторые существенные изменения. Благодаря конструкции SSL / TLS и клиент, и сервер могут согласовывать, какую версию протокола они хотят использовать, поэтому клиенты, использующие TLSv1.0, могут по-прежнему общаться с серверами, реализующими TLSv1.2, и наоборот.

Принимая во внимание возможность взаимодействия между всеми версиями протокола, невозможно «переключить», поскольку они принадлежат к одному семейству. Это вопрос «нужно ли мне использовать более новую версию?». Как и в любой другой области, ответ на этот вопрос будет зависеть от того, имеет ли текущая версия, которую вы используете, какие-либо ограничения или нет. В настоящее время нет проблем с использованием SSLv3, но большинство клиентов и серверов работают с TLSv1.0.

Надеюсь, это немного проясняет картину. Если нет, дайте мне знать, что все еще сбивает с толку, я постараюсь объяснить дальше.

Является ли TLS «новой» версией SSL? Какие функции он добавляет или решает проблемы безопасности?

TLS - это Т транспортировка L Айер S ecurity и обычно относится к команде STARTTLS на почтовых серверах SMTP. Он может использовать, а может и не использовать SSL (например, ПОСМОТРЕТЬ palm versamal), но в целом SSL является основной используемой системой безопасности. TLS также использовался для других целей (например, HTTP), а последняя спецификация RFC находится в версии 1.2.

Может ли что-нибудь, что поддерживает SSL, поддерживать TLS? Что потребуется для переключения? Стоит ли переключатель?

Обычно, но по любому поводу, с учетом TLS, вы имеете в виду почтовые серверы, поэтому, в частности, почтовые серверы, имеющие сертификат SSL, могут использовать TLS для передачи почты и получения почты.

Почему электронные письма отправляются через «оппортунистический TLS» и VPN, часто называемые SSL VPN? Есть ли разница в технологии, возможно, есть место для линейки продуктов «TLS VPN»?

Это пахнет тупицами-маркетологами, попавшими в комнату. «Оппортунистический TLS» просто означает, что если starttls не возвращает 220 (готов к запуску TLS), продолжайте и отправляйте электронное письмо в любом случае. Обратите внимание, что TLS - это опция SENDER, а не опция получателя. Некоторые почтовые серверы могут отклонять почту, отличную от TLS, но это будет исключением, а не правилом.

TLS также поддерживает взаимную аутентификацию, а не просто шифрование соединения.

Отправка электронной почты через VPN (будь то SSL или другая схема безопасности) просто делает безопасность почтовых серверов практически несущественной, вы можете использовать TLS через VPN (и вы даже можете использовать TLS в качестве схемы безопасности VPN), но это не обязательно влияет на то, как почта транспортируется, если между почтовыми серверами зашифровано только соединение VPn (поэтому с исходного и целевого почтовых серверов они могут передавать стандартный открытый текст)