什么是TLS(證書(shū))，和SSL(證書(shū))有什么關(guān)系和區別？

什么是SSL？

SSL(Secure Sockets Layer安全套接字協(xié)議)，及其繼任者傳輸層安全（Transport Layer Security，TLS）是為網(wǎng)絡(luò )通信提供安全及數據完整性的一種安全協(xié)議，TLS與SSL在傳輸層與應用層之間對網(wǎng)絡(luò )連接進(jìn)行加密。

SSL至TLS時(shí)間軸

SSL（安全套接字層）是Netscape在90年代開(kāi)發(fā)的一種安全協(xié)議，用于加密和保護Internet上的通信。由于安全問(wèn)題，從未發(fā)布過(guò)SSL v1.0。

Netscape在1995年發(fā)布了SSL v2.0，但它仍然存在許多缺陷。

SSL v3.0于1996年發(fā)布，解決了SSL v2.0的問(wèn)題。這個(gè)版本提供了令人難以置信的改進(jìn)，并永遠改變了互聯(lián)網(wǎng)的工作方式。但是，自2015年起，不贊成使用SSL 3.0和更低版本。

前往UCloud優(yōu)刻得控制臺選購S(chǎng)SL證書(shū)>>

TLS（傳輸層安全性）由Internet工程任務(wù)組（IETF）開(kāi)發(fā)，是對SSL的改進(jìn)；TLS v1.0于1999年發(fā)布，基于SSL v3.0，在安全性方面的細微改進(jìn)仍然足夠顯著(zhù)，以至于SSL v3.0和TLS v1.0不能互操作。

TLS v1.1于七年后的2006年問(wèn)世，隨后不久于2008年被TLS v1.2取代。這損害了TLS v1.1的采用，因為許多網(wǎng)站已從TLS v1.0直接升級到TLS v1.2。11年后，我們現在使用TLS v1.3。

TLS v1.3于2018年完成，并經(jīng)過(guò)了近30個(gè)IETF草案。TLS v1.3對其先前版本進(jìn)行了重大改進(jìn)。截至2020年3月，Microsoft，Apple，Google，Mozilla，Cloudflare和Cisco均已棄用TLS v1.0和TLSv1.1。TLSv1.2和TLS v1.3現在是唯一仍可用的SSL協(xié)議。

因此，實(shí)際上， TLS只是SSL的較新版本。 但是，大多數人仍然說(shuō)SSL而不是TLS。SSL和TLS具有相同的目的，可在傳輸過(guò)程中保護敏感信息，但實(shí)際上，加密技術(shù)已從原始SSL更改為最新的TLS v1.3。

SSL是如何工作的？

SSL的主要目的是在服務(wù)器和客戶(hù)端這兩個(gè)端點(diǎn)之間提供安全的傳輸層連接。此連接通常在網(wǎng)站服務(wù)器和客戶(hù)端的瀏覽器之間，或郵件服務(wù)器和客戶(hù)端的電子郵件應用程序之間。

SSL包含兩個(gè)單獨的協(xié)議：

SSL記錄協(xié)議層的作用是為高層協(xié)議提供基本的安全服務(wù)。SSL記錄協(xié)議針對HTTP協(xié)議進(jìn)行了特別的設計，使得超文本的傳輸協(xié)議HTTP能夠在SSL運行。記錄封裝各種高層協(xié)議，具體實(shí)施壓縮解壓縮、加密解密、計算和校驗MAC等與安全有關(guān)的操作。

SSL握手協(xié)議層包括SSL握手協(xié)議（SSL HandShake Protocol）、SSL密碼參數修改協(xié)議（SSL Change Cipher Spec Protocol）、應用數據協(xié)議（Application Data Protocol）和SSL告警協(xié)議（SSL Alert Protocol）。握手層的這些協(xié)議用于SSL管理信息的交換，允許應用協(xié)議傳送數據之間相互驗證，協(xié)商加密算法和生成密鑰等。SSL握手協(xié)議的作用是協(xié)調客戶(hù)和服務(wù)器的狀態(tài)，使雙方能夠達到狀態(tài)的同步。

如果SSL有效且正確，則握手可帶來(lái)以下安全益處：

身份驗證：只要連接有效，就始終對服務(wù)器進(jìn)行身份驗證。

機密性：通過(guò)SSL發(fā)送的數據已加密，并且僅對服務(wù)器和客戶(hù)端可見(jiàn)。

完整性：數字證書(shū)簽名可確保在傳輸期間未修改數據。

尤其是，客戶(hù)端需要驗證SSL證書(shū)是真實(shí)的并且由受信任方頒發(fā)，并頒發(fā)給它打算聯(lián)系的主機名。服務(wù)器應用程序和客戶(hù)端瀏覽器通常會(huì )處理此問(wèn)題?？梢酝ㄟ^(guò) 三個(gè)步驟簡(jiǎn)單地解釋該過(guò)程 ：

客戶(hù)端向服務(wù)器發(fā)送一條初始消息，告知服務(wù)器支持的TLS版本，密碼算法，壓縮方法。服務(wù)器使用其公共證書(shū)回復客戶(hù)端， 并建立要使用的密碼套件算法。密碼套件中有四種算法 ：

密鑰交換算法、數字簽名算法、消息認證算法、散列算法

如果啟用了SSL客戶(hù)端身份驗證，則服務(wù)器將請求客戶(hù)端證書(shū)以及客戶(hù)端證書(shū)鏈中的任何中間證書(shū)。無(wú)論如何，客戶(hù)端然后都會(huì )驗證服務(wù)器證書(shū)，然后進(jìn)行加密并將新密鑰發(fā)送到服務(wù)器。該公鑰/私鑰對不會(huì )被此步驟之后再使用。 握手結束后，客戶(hù)端和服務(wù)器現在在兩端都擁有相同的共享會(huì )話(huà)密鑰。只要會(huì )話(huà)保持有效，就將使用對稱(chēng)密碼術(shù)加密傳輸中的數據 ，因為它是比非對稱(chēng)密碼術(shù)更有效的方法。