TLS nedir ve SSL ile nasıl karşılaştırılır?

13

TLS, SSL'nin "yeni" versiyonu mu? Hangi özellikleri ekliyor veya güvenlik sorunlarını ele alıyor mu?

SSL'yi destekleyen herhangi bir şey TLS'yi destekleyebilir mi? Geçiş yapmakta neler olabilir? Anahtar buna değer mi?

Neden e-postalar "Fırsatçı TLS" ve genellikle SSL VPN olarak adlandırılan VPN'ler üzerinden gönderiliyor? Teknolojide bir fark var mı, belki bir "TLS VPN" ürün serisi için yer yaratıyor mu?

— goodguys_activate
kaynak

11

TLS ve SSL yakından ilgili teknolojilerdir.

İlk olarak, e-posta ve Fırsatçı TLS. ESMTP, konuşmanın gerçek veri aktarım bölümünü şifreli bir bağlantı üzerinden gerçekleştirme seçeneğine sahiptir. Bu protokolün bir parçasıdır ve varlığının çoğu için TLS olarak adlandırılmıştır. Kabaca şu şekilde çalışır:

-> EHLO foreignmailer.example.com
<- 250 Howdy, stranger
<- [list of capabilities, of which TLS is listed]
-> [Indicates it wants to start a TLS session]
<- [accepts negotioation]
-> [Mail actions, of which LOGIN might be one]

TLS oturumu başlatıldığında, yeni oturum açma yöntemleri kullanılabilir. Bu, doğrudan İşlem Katmanı Güvenliği'ni içeren bir protokole örnektir. Kullanılan sertifikalar, HTTP üzerinden SSL için kullanılan aynı tür sertifikalardır.

Doğrudan TLS içermeyen bir hizmet örneği için, SSL üzerinden POP3'ü alın. Bu durumda, güvenli protokol, gerçek protokol üzerinde anlaşmaya varılmadan önce görüşülür. Temel olarak, POP3 güvenli bir oturumda kapsüllenir.

Genel olarak, bir hizmet SSL'yi destekliyorsa, TLS'yi destekleyecek şekilde genişletilebilir. Bunun yapılıp yapılmadığı, hizmetin koruyucularına bağlıdır. Bu, TLS'nin "SSL VPN'lerindeki" SSL'nin yerini alabileceği anlamına gelir.

SSL VPN'leri, güvenli oturumun farklı bir düzeyde yapılması bakımından IPSec tabanlı kuzenlerinden farklıdır. SSL VPN'ler, çalışmalarını SSL üzerinden POP3 ile aynı şekilde yaparlar, çünkü trafik mevcut bir TCP bağlantısı üzerinden kapsüllenir. IPSec VPN'leri , SSL VPN'lerinin TCP düzeyinde güvenli bir tünel oluşturduğu IP düzeyinde güvenli bir tünel oluşturur . SSL VPN'lerin devralmalarının nedeni, kurulumlarının daha kolay olması ve kötü ağ koşullarına daha toleranslı olmalarıdır. SSL VPN'leri, oturumun güvenliğini sağlamak için TLS protokolünü kullanabilir ve kullanabilir, ancak VPN'nin üreticisine bağlıdır.

SSL ve TLS arasındaki tam protokol seviyesi farklarına gelince, giremiyorum. TLS standart olarak SSL'den daha geç ulaşmıştır ve bu nedenle erken SSL sürümlerinde öğrenilen bazı dersleri içermektedir. SSLv3 1996'da ve 1999'da TLS1.0 onaylandı ve daha fazla protokol geliştirmenin TLS paketi ile sınırlı olduğu görülüyor. SSLv1 ve v2'nin kaybolması çok uzun sürdü. TLS, SSL paketinin açık halefidir.

— sysadmin1138
kaynak

SSLv3 ne zaman kaybolmalı ve yerine TLS getirilmelidir? Bugün veya yakın gelecekte bunun ilgili olacağı herhangi bir durum var mı?

— goodguys_activate

@ MakerOfThings7 Tarayıcı desteği açısından, aktif olarak göz atan kullanıcıların% 90'ı SSLv3'e geri dönmeden TLS'yi destekledikten sonra kaybolacaktır. Bu muhtemelen önümüzdeki 5-7 yıl içinde bir süre olacak. SSLv3'te sömürülmesi kolay bir zayıflık daha hızlı keşfedilmeye zorlanırsa bu durum değişebilir.

— sysadmin1138

2

SSL v 3 ve TLSv1, BEAST saldırısı luxsci.com/blog/… ) ve SSL v3'ü yine POODLE ( arstechnica.com/security/2014/10/… ) aracılığıyla kırıldı. Umarım TLS 1.2'yi daha fazla kullanmak için zorlayabiliriz sık

— Jim B

TLS 1.2 spesifikasyonları burada tools.ietf.org/html/rfc5246 ve 1.3 (şu anda taslak) için burada ietf.org/id/draft-ietf-tls-tls13-02.txt

— Jim B

5

TLS aslında SSL'ye yükseltmedir. Değişiklikler dramatik değil, SSL3.0 ile uyumluluğu bozacak kadar önemli.

Wikipedia makalesi yoğun ama oldukça anlaşılabilir terimlerle kapsar. (RTFM'den bahsetmiyorum, ama orada her şeyi tekrarlamak istemiyorum.)

Benzer şekilde kullanılırlar ve yine de SSL olarak adlandırılırlar. Temel olarak, şifreleme şemanızı biri veya diğeri olarak seçersiniz.

— gWaldo
kaynak

5

+1, En büyük fark SSL'nin örtülü şifreleme olmasıdır, yani bağlantı bir şifreleme anlaşmasıyla başlar ve bu başarılı olana kadar hiçbir şey yapmaz. TLS açıktır, bağlantı başlar ve bir noktada istemci iletişimi şifrelemeye başlamasını ister.

— Chris S

1

@Chris: Bundan emin misin? opensslaynı fikirde değil gibi görünüyor. (Birçok program "STARTTLS" anlamına geldiklerinde "TLS" der.)

— user1686

@Grawity, bence TLS'nin geri dönüş modunu SSL ile karıştırıyorsunuz. Birçok uygulama, bir SSL anlaşmasını tanıyan ve el sıkışmasını hemen başlatan bir TLS sarmalayıcı kullanır. Bir uygulama saf TLS (geri dönüş olmadan) çalıştırıyorsa, şifreleme anlaşması başlamadan önce STARTTLS (veya eşdeğeri, protokole bağlıdır, ancak çoğu protokol bunu kullanır).

— Chris S

Bu yorumların tümü, diğer protokoller tarafından kullanılan SSL / TLS için geçerlidir. SSLv3 ve TLSv1.0, yalnızca protokol uzmanları tarafından bilinen farklarla hemen hemen aynıdır.

— Nasko

Ayrıca, TLS SSL ile uyumluluğu bozmaz, lütfen kaynaklarınızı doğrulayın.

— Nasko

3

SSL zaten insanların işaret ettiği gibi geçmişte Netscape tarafından tasarlanan bir protokoldür. Bir noktada IETF standart kuruluşu, SSLv3 protokolünü standart bir protokol olarak benimsemeye karar verdi, bu yüzden çok ustaca değişti ve TLSv1.0 olarak adlandırıldı.

Çoğu insan için, TLSv1.0 neredeyse SSLv3 ile eşdeğerdir. İnsanların hala protokol ailesini SSL olarak adlandırmasının nedeni tarihsel nedenlerden kaynaklanmaktadır - herkes isme alışkındır, bu yüzden kullanmaya devam ederler. VPN'nin kapak altında TLS kullanması oldukça mümkündür, ancak pazarlama adı hala SSL VPN olarak kalmaktadır.

TLSv1.0'dan bu yana standardın iki revizyonu yapılmıştır ve şu anda hala uyumlu olsa da bazı önemli değişikliklere sahip olan TLSv1.2'de. SSL / TLS tasarımı nedeniyle, hem istemci hem de sunucu, protokolün hangi sürümünü kullanmak istediklerini müzakere edebilir, böylece TLSv1.0 kullanan istemciler yine de TLSv1.2 uygulayan sunucularla konuşabilir veya bunun tersi de geçerlidir.

Protokolün tüm sürümleri arasındaki birlikte çalışabilirlik göz önüne alındığında, aynı aile oldukları için "geçiş yapma" yoktur. "Daha yeni bir sürümü kullanmam gerekiyor mu?" Sorusudur. Diğer herhangi bir alanda olduğu gibi, bu sorunun cevabı kullandığınız mevcut sürümün herhangi bir sınırlamaya sahip olup olmamasına bağlı olacaktır. Şu anda SSLv3'ü kullanmayla ilgili bir sorun yok, ancak oradaki istemci ve sunucuların çoğu TLSv1.0 ile çalışıyor.

Umarım bu resmi biraz netleştirir. Değilse, hala neyin kafa karıştırıcı olduğunu bana bildirin, daha fazla açıklamaya çalışacağım.

— Nasko
kaynak

0

TLS, SSL'nin "yeni" versiyonu mu? Hangi özellikleri ekliyor veya güvenlik sorunlarını ele alıyor mu?

TLS T ransport L Ayer S ecurity ve genellikle SMTP posta sunucularında STARTTLS komutuna karşılık gelir. SSL kullanabilir veya kullanmayabilir (bir örnek için SEE palm versamal), ancak genel olarak SSL kullanılan ana güvenlik sistemidir. TLS de başka amaçlar için (HTTP gibi) kullanılmıştır ve en son RFC spesifikasyonu 1.2 sürümündedir.

SSL'yi destekleyen herhangi bir şey TLS'yi destekleyebilir mi? Geçiş yapmakta neler olabilir? Anahtar buna değer mi?

Genellikle, ancak herhangi bir şeyle, TLS göz önüne alındığında, posta sunucularına atıfta bulunursunuz, bu nedenle özellikle SSL sertifikası olan posta sunucuları posta aktarmak ve posta almak için TLS'yi kullanabilir.

Neden e-postalar "Fırsatçı TLS" ve genellikle SSL VPN olarak adlandırılan VPN'ler üzerinden gönderiliyor? Teknolojide bir fark var mı, belki bir "TLS VPN" ürün serisi için yer yaratıyor mu?

Bu odadaki pazarlama kafatasının aldığı gibi kokuyor. "Fırsatçı TLS" basitçe, starttls 220 (TLS'yi başlatmaya hazır) döndürmezse, devam edip e-postayı yine de göndermeniz anlamına gelir. TLS'nin bir alıcı seçeneği değil bir SENDER seçeneği olduğunu unutmayın, bazı posta sunucularının TLS olmayan postaları reddetmesi mümkün olabilir, ancak bu kural değildir.

TLS ayrıca bir bağlantının şifrelenmesini değil, karşılıklı kimlik doğrulamayı da destekler.

Bir VPN üzerinden e-posta göndermek (ister SSL ister başka bir güvenlik şeması olsun), posta sunucularının güvenliğini aslında önemsiz hale getirir, bir VPN üzerinden TLS'yi kullanabilirsiniz (ve VPN güvenlik şeması olarak TLS'yi bile kullanabilirsiniz), ancak postalar arasında yalnızca VPn bağlantısı şifrelenmişse posta taşınır (yani kaynak ve hedef posta sunucularından standart açık metin iletiyor olabilirler)

— Jim B
kaynak

Naçizane size katılmıyorum. TLS genellikle SMTP'deki STARTTLS komutuna başvurmaz. Okuduğunuz tüm belgeler TLS'ye SMTP tarafından trafiğini korumak için kullanılan TLS protokolü olarak atıfta bulunacaktır. Şimdi "Fırsatçı TLS" söz konusu olduğunda, TLS kullanma ya da kullanma fırsatına sahip olmayan daha üst düzey protokolleri dahil edebilirsiniz.

— Nasko

Kesinlikle katılmıyorum hoş geldiniz, ancak 10 yöneticiye 9 için hangi TLS'nin kullanıldığını sorarsanız e-posta söyleyecektir. Soru bile TLS ile ilgili e-postalar olduğunu varsayıyor. TLS'nin başka şeyler için de kullanıldığından bahsediyorum. RFC 2434, sunucudaki mesajda hangi şifrelerin müzakere edilebileceğini tanımlar - fırsatçı TLS ile ilgisi yoktur. SMTP, herhangi bir şifreleme tanımlamak için kullanılır. RFC 3207, starttls'ı bir sunucu uzantısı olarak tanımlar

— Jim B

"TLS" yalnızca "STARTTLS" kodunu yanlış ifade eder. STARTTLS, yaklaşımı genelleştirmek için sadece bir anahtar kelimedir, ancak başlangıç protokolüne entegrasyon gerektirir. STARTTLS komutu SMTP ve IMAP'de benzer görünür, ancak LDAP'deki sözdizimine entegre edilmesi gerekir; S-HTTP'deki (HTTPS değil) aynı mekanizma bu anahtar kelimeyi kullanmaz. Bunun nedeni, posta istemcilerinin "SSL" ve "TLS" arasında bir seçenek sunması değil, bu adın ilk ve fırsatçı SSL / TLS arasında seçim yapmalarının doğru olduğu anlamına gelir. Bazı SMTPS sunucularının TLSv1'i çok iyi desteklediğine eminim. STARTTLS'yi kullandıktan sonra bazı SSLv3 de görebilirsiniz.

— Bruno

1

Bu cevap yanlış. STARTTLS, TLS veya SSL başlatmak için birçok protokolde (örn. SMTP) kullanılan bir komuttur. Bunun dışında ilgisizler.

— Nikos