SSL和TLS都是加密协议,提供通过网络运行的服务器、机器和应用程序(例如连接到Web服务器的客户端)之间的身份验证和数据加密。实际上,SSL只有大约25岁。但在互联网时代,那是古老的。SSL的第一次迭代,版本1.0,最初由Netscape于1995年开发,但从未发布,因为它充满了严重的安全缺陷。SSL2.0没有好很多,所以仅仅一年后,SSL3.0被释放。同样,它也有严重的安全缺陷。
这时,共识发展部的小伙子们对此大为抨击,并开发了TLS1.0。Tls1.0与Ssl3.0非常相似,事实上它基于它,但仍然足够不同,需要降级才能使用Ssl3.0。正如TLS协议的创建者所写:
此协议与SSL3.0之间的差异并不显著,但它们足够显著,TLS1.0和SSL3.0无法互操作。
降级到SSL3.0仍然是危险的,虽然,鉴于其已知的,可利用的漏洞。攻击者针对网站所需的所有工作都是将协议降级为SSL3.0。因此,降级攻击的诞生。这最终成为Tls1.0棺材里的钉子。
TLS1.1于七年后于2006年问世,2008年被TLS1.2取代。这伤害了Tls1.1的采用,因为许多网站只是从1.0升级到Tls1.2。我们现在在Tls1.3,这是在11年后于2018年最终确定的,近30个Ietf草案。
TLS1.3比其前身有了重大改进,目前互联网上的主要参与者正在推动其扩散。微软、苹果、谷歌、莫齐拉和云火焰都宣布计划在2020年1月同时弃用TLS1.0和TLS1.1,使TLS1.2和TLS1.3成为全城唯一的游戏。
无论如何,我们在过去几十年里一直在使用TLS。在这一点上,如果你仍然使用SSL,你落后多年,比喻生活在一个被遗弃的时代,人们仍然使用电话线拨号到互联网上。
