什么是SSL?
安全套接字层(SSL)是 用于对网络上的通信进行身份验证和加密的加密协议的原始名称 。SSL在一段时间之前正式地被称为TLS(传输层安全性)的更新协议所取代。
SSL至TLS时间轴
SSL(安全套接字层)是Netscape在90年代开发的一种安全协议,用于加密和保护Internet上的通信。由于安全问题,从未发布过SSL v1.0。
Netscape在1995年发布了SSL v2.0,但它仍然存在许多缺陷。
SSL v3.0于1996年发布,解决了SSL v2.0的问题。这个版本提供了令人难以置信的改进,并永远改变了互联网的工作方式。但是,自2015年起,不赞成使用SSL 3.0和更低版本。
TLS(传输层安全性)由Internet工程任务组(IETF)开发,是对SSL的改进;TLS v1.0于1999年发布,基于SSL v3.0,在安全性方面的细微改进仍然足够显着,以至于SSL v3.0和TLS v1.0不能互操作。
TLS v1.1于七年后的2006年问世,随后不久于2008年被TLS v1.2取代。这损害了TLS v1.1的采用,因为许多网站已从TLS v1.0直接升级到TLS v1.2。11年后,我们现在使用TLS v1.3。
TLS v1.3于2018年完成,并经过了近30个IETF草案。TLS v1.3对其先前版本进行了重大改进。截至2020年3月,Microsoft,Apple,Google,Mozilla,Cloudflare和Cisco均已弃用TLS v1.0和TLSv1.1。TLSv1.2和TLS v1.3现在是唯一仍可用的SSL协议。
因此,实际上, TLS只是SSL的较新版本。 但是,大多数人仍然说SSL而不是TLS。SSL和TLS具有相同的目的,可在传输过程中保护敏感信息,但实际上,加密技术已从原始SSL更改为最新的TLS v1.3。
它是如何工作的?
SSL的主要目的是在服务器和客户端这两个端点之间提供安全的传输层连接。此连接通常在网站服务器和客户端的浏览器之间,或邮件服务器和客户端的电子邮件应用程序(例如Outlook)之间。
SSL包含两个单独的协议:
握手协议 认证服务器(和任选的客户端),协商加密套件,并且生成的共享密钥。
记录协议 隔离每个连接,并使用所述共享密钥来安全通信的会话的剩余部分。
握手协议
SSL握手是用于建立服务器和客户端进行通信的安全通道的 非对称加密 过程, HTTPS连接始终以SSL握手开始。
成功的握手会在客户端浏览器或应用程序后立即自动发生,而不会打扰客户端用户体验。但是,握手失败会触发连接终止,通常会在客户端浏览器中发出警告消息。
如果SSL有效且正确,则握手可带来以下安全益处:
身份验证: 只要连接有效,就始终对服务器进行身份验证。
机密性: 通过SSL发送的数据已加密,并且仅对服务器和客户端可见。
完整性: 数字证书签名可确保在传输期间未修改数据。
尤其是,客户端需要验证 SSL证书 是真实的并且由受信任方颁发,并颁发给它打算联系的主机名。服务器应用程序和客户端浏览器通常会处理此问题。可以通过 三个步骤简单地解释该过程 :
客户端向服务器发送一条初始消息,告知服务器支持的TLS版本,密码算法,压缩方法。服务器使用其 公共证书回复客户端, 并建立要使用的密码套件算法。密码套件中有四种算法 :
密钥交换算法
数字签名算法
消息认证算法
散列算法
如果 启用了SSL客户端身份验证 ,则服务器将请求客户端证书以及客户端证书链中的任何中间证书。无论如何,客户端然后都会验证服务器证书,然后进行加密并将新密钥发送到服务器。该 公钥/私钥对 不会被此步骤之后再使用。
握手结束后,客户端和服务器现在在两端都拥有相同的共享会话密钥。只要会话保持有效,就将使用对称密码术加密传输中的数据 ,因为它是比非对称密码术更有效的方法。
总而言之,SSL证书从根本上使用非对称加密和对称加密的混合物来进行Internet通信。在企业中实现SSL通信还涉及其他基础结构,称为公钥基础结构。