TLS与SSL加密协议简介

TLS与SSL加密协议简介

SSL 代表安全套接字层。SSL 的第一个版本由 Netscape 于 1995 年开发。SSL 是在两台或多台计算机之间传输任何数据时建立安全互联网连接的行业标准。因此，SSL 可以防止攻击者拦截/读取和修改通过互联网发送的任何数据。

SSL基本上利用加密来确保传输的数据是安全的并且不能被攻击者访问，从而防止攻击者读取和更改数据。

SSL 版本

以下 SSL 版本已随年份发布，如下所述：

• SSL 1.0 -由于固有的安全问题，该版本未发布。
• SSL 2.0 -于 1995 年发布。它存在许多安全缺陷。已于 2011 年弃用。
• SSL 3.0 - SSL 的最新版本。于 1996 年发布，旨在解决 SSL 2.0 中的安全问题，并于 2015 年弃用。当遇到支持 2.0 的客户端时，SSL 3.0 能够回滚到 SSL 2.0。

传输层安全协议

TLS 代表传输层安全。TLS 的第一个版本由互联网工程任务组 (IETF) 于 1999 年开发。简单来说，TLS 是 SSL 的更新且更安全的版本。

TLS 版本

以下 TLS 版本已随上述年份一起发布 -

• TLS 1.0 -在 RFC 2246 中定义，并于 1999 年 1 月发布。它是 SSL 3.0 的升级，SSL 3.0 和 TLS 1.0 之间没有太大区别，但它们彼此不互操作。
• TLS 1.1 - TLS 1.1 已在 RFC 4346 中定义，并于 2006 年 4 月发布。TLS 1.1 是 TLS 1.0 的更新
• TLS 1.2 - TLS 1.2 已在 RFC 5246 中定义，并于 2008 年 8 月发布。TLS 1.2 是 TLS 1.1 的更新
• TLS 1.3 - TLS 1.3 已在 RFC 8446 中定义，并于 2018 年 8 月发布。TLS 1.3 是 TLS 1.2 的更新

SSL 和 TLS 的主要用例是加密 Web 应用程序和服务器之间发送的数据。SSL/TLS 还可用于加密其他通信，例如消息传递、电子邮件和 IP 语音 (VoIP)

很多时候，当您从浏览器连接到网站时，浏览器会在网址左侧显示一个小挂锁。此挂锁通知网站正在使用 SSL/TLS 加密网站和服务器之间发送的数据。这是识别通信是通过 HTTP 还是 HTTPS 进行的方法之一。

SSL 和 TLS 的区别

下表突出显示了 SSL 和 TLS 之间的主要区别

SSL 传输层 安全

代表安全套接字层。 代表传输层安全。

第一个版本由 Netscape 于 1995 年开发。 第一个版本由互联网工程任务组 (IETF) 于 1999 年开发。

SSL 支持 Fortezza 算法。 TLS 不支持 Fortezza 算法。

最新版本 - 3.0 最新版本 - `1.3

消息摘要用于创建主密钥。 伪随机函数用于创建主秘密。

使用消息认证码协议。 使用散列消息认证码协议。

SSL 比 TLS 更复杂 TLS 很简单。

与 TLS 相比，SSL 的安全性较差 。TLS 提供了较高的安全性。

所有版本的 SSL 都存在漏洞，因此均已被弃用。 TLS 1.0 和 1.1 已被“破坏”，并已于 2020 年 3 月被弃用。TLS 1.2 是使用中部署最广泛的协议版本。

密码套件

SSL/TLS 密码套件是一系列算法，可通过加密两个系统之间的数据来帮助保护网络安全。它的形式如下：

协议_密钥交换算法_数字签名算法_批量加密算法_哈希算法

示例 - TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256

SSL/TLS 使用各种密码套件。有些密码很容易受到攻击，而有些密码可以安全使用。下面列出了可以安全使用的密码列表 -

• TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
• TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
• TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
• TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
• TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
• TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
• TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
• TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
• TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
• TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
• TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
• TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
• TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
• TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
• TLS_DHE_RSA_WITH_AES_128_CBC_SHA
• TLS_DHE_RSA_WITH_AES_256_CBC_SHA
• TLS_DHE_RSA_WITH_AES_128_CBC_SHA256
• TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
• TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256
• TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305
• TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256
• TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305

TLS 证书密码检查

在渗透测试过程中，很多时候都会出现这样的情况：我们必须检查 TLS 证书是否运行任何易受攻击的密码。手动检查这一点是不可行的，因此我们需要一些自动化或工具来完成这项工作。有很多工具可以完成这项工作。