TLS und SSL sind eng verwandte Technologien.
Erstens E-Mail und Opportunistic TLS. ESMTP bietet die Möglichkeit, den eigentlichen Datenübertragungsteil der Konversation über eine verschlüsselte Verbindung durchzuführen. Dies ist Teil des Protokolls und wird seit jeher TLS genannt. Es funktioniert ungefähr so:
-> EHLO foreignmailer.example.com
<- 250 Howdy, stranger
<- [list of capabilities, of which TLS is listed]
-> [Indicates it wants to start a TLS session]
<- [accepts negotioation]
-> [Mail actions, of which LOGIN might be one]
Nach dem Start der TLS-Sitzung sind möglicherweise neue Anmeldemethoden verfügbar. Dies ist ein Beispiel für ein Protokoll, das Transaction Layer Security direkt enthält. Die verwendeten Zertifikate sind die gleichen Zertifikate, die für SSL über HTTP verwendet werden.
Verwenden Sie für ein Beispiel eines Dienstes, der TLS nicht direkt enthält, POP3-over-SSL. In diesem Fall wird die sichere Sitzung ausgehandelt, bevor das eigentliche Protokoll ausgehandelt wird. Im Wesentlichen wird POP3 in einer sicheren Sitzung gekapselt.
Wenn ein Dienst SSL unterstützt, kann er im Allgemeinen auf TLS erweitert werden. Ob dies geschehen ist oder nicht, liegt bei den Betreuern des Dienstes. Dies bedeutet, dass TLS SSL in "SSL VPNs" ersetzen kann.
SSL-VPNs unterscheiden sich von ihren IPSec-basierten Verwandten darin, dass die sichere Sitzung auf einer anderen Ebene ausgeführt wird. SSL-VPNs funktionieren ähnlich wie POP3-over-SSL, da der Datenverkehr über eine vorhandene TCP-Verbindung gekapselt wird. IPSec-VPNs erstellen einen sicheren Tunnel auf IP-Ebene , während SSL-VPNs einen sicheren Tunnel auf TCP-Ebene erstellen . Der Grund, warum SSL-VPNs anscheinend die Kontrolle übernehmen, ist, dass sie einfacher einzurichten sind und schlechtere Netzwerkbedingungen tolerieren. SSL-VPNs können und verwenden das TLS-Protokoll zum Sichern der Sitzung, obwohl dies vom Hersteller des VPN selbst abhängt.
Was die genauen Unterschiede auf Protokollebene zwischen SSL und TLS betrifft, auf die ich nicht eingehen kann. TLS als Standard wurde später als SSL festgelegt und enthält daher einige der Lehren, die in den frühen SSL-Versionen gezogen wurden. SSLv3 wurde bereits 1996 und TLS1.0 1999 ratifiziert, und die weitere Protokollentwicklung scheint auf die TLS-Suite beschränkt zu sein. Es hat lange gedauert, bis SSLv1 und v2 verschwunden sind. TLS ist der klare Nachfolger der SSL-Suite.
TLS ist im Wesentlichen ein Upgrade auf SSL. Die Änderungen sind nicht dramatisch, aber signifikant genug, um die Kompatibilität mit SSL3.0 zu beeinträchtigen.
Der Wikipedia-Artikel behandelt es ausführlich, aber in verständlichen Begriffen. (Ich meine nicht RTFM, aber ich möchte dort nicht alles wiederholen.)
Sie werden auf ähnliche Weise verwendet und werden immer noch als SSL bezeichnet. Grundsätzlich wählen Sie das eine oder andere Verschlüsselungsschema.
quelle
openssl
scheint nicht zuzustimmen. (Viele Programme sagen "TLS", wenn sie "STARTTLS" bedeuten.)Wie bereits erwähnt, handelt es sich bei SSL um ein Protokoll, das in der Vergangenheit von Netscape entwickelt wurde. Irgendwann entschied sich das IETF-Standardgremium, das SSLv3-Protokoll als Standardprotokoll zu übernehmen, sodass es sehr subtil geändert wurde und den Namen TLSv1.0 erhielt.
Daher ist TLSv1.0 für die meisten Leute fast gleichbedeutend mit SSLv3. Der Grund, warum die Leute immer noch die Familie der SSL-Protokolle nennen, liegt in der Vergangenheit - jeder ist an den Namen gewöhnt, daher wird er weiterhin verwendet. Es ist durchaus möglich, dass das VPN TLS verwendet, der Markenname bleibt jedoch weiterhin SSL-VPN.
Seit TLSv1.0 gab es zwei Überarbeitungen des Standards, und jetzt liegt TLSv1.2 vor, das zwar noch kompatibel ist, jedoch einige wesentliche Änderungen aufweist. Aufgrund des SSL / TLS-Designs können sowohl Client als auch Server die gewünschte Version des Protokolls aushandeln, sodass Clients, die TLSv1.0 verwenden, weiterhin mit Servern kommunizieren können, die TLSv1.2 implementieren, und umgekehrt.
In Anbetracht der Interoperabilität zwischen allen Versionen des Protokolls gibt es keine "Umstellung", da sie derselben Familie angehören. Es handelt sich um die Frage "Muss ich eine neuere Version verwenden?". Wie in jedem anderen Bereich hängt die Antwort auf diese Frage davon ab, ob die aktuelle Version, die Sie verwenden, Einschränkungen aufweist oder nicht. Derzeit gibt es keine Probleme mit der Verwendung von SSLv3, aber die meisten Clients und Server arbeiten mit TLSv1.0.
Ich hoffe das klärt das Bild ein wenig. Wenn nicht, lassen Sie mich wissen, was immer noch verwirrend ist. Ich werde versuchen, es weiter zu erklären.
quelle
TLS ist T ransport L ayer S ICHERHEIT und bezieht sich im Allgemeinen auf den STARTTLS Befehl in SMTP - Mail - Server. Möglicherweise wird SSL verwendet oder nicht (siehe Palm Versamal). Im Allgemeinen wird jedoch SSL als Hauptsicherheitssystem verwendet. TLS wurde auch für andere Zwecke verwendet (z. B. für HTTP). Die neueste RFC-Spezifikation ist Version 1.2
Normalerweise beziehen Sie sich jedoch mit TLS als Gegenleistung auf Mailserver, sodass speziell Mailserver mit einem SSL-Zertifikat TLS zum Übertragen und Empfangen von E-Mails verwenden können.
Das riecht wie die Marketingköpfe im Raum. "Opportunistisches TLS" bedeutet einfach, dass, wenn starttls keine 220 (Bereit zum Starten von TLS) zurückgibt, die E-Mail trotzdem gesendet wird. Beachten Sie, dass TLS eine SENDER-Option und keine Empfängeroption ist. Bei einigen Mailservern ist es möglicherweise möglich, Nicht-TLS-Mail abzulehnen, dies ist jedoch die Ausnahme, die nicht die Regel ist.
TLS unterstützt auch die gegenseitige Authentifizierung und nicht nur die Verschlüsselung einer Verbindung.
Durch das Senden einer E-Mail über ein VPN (unabhängig davon, ob SSL oder ein anderes Sicherheitsschema) ist die Sicherheit des Mailservers im Wesentlichen irrelevant. Sie können TLS über ein VPN verwenden (und Sie können TLS sogar als VPN-Sicherheitsschema verwenden), dies hat jedoch keinen Einfluss darauf, wie Die Mail wird transportiert, wenn nur die VPn-Verbindung zwischen den Mailservern verschlüsselt ist.
quelle