Hva er forskjellen mellom SSL, TLS og HTTPS?
Jeg blir forvirret av begrepene på dette området. Hva er SSL, TLS og HTTPS? Hva er forskjellen mellom dem?
551
3
Jeg blir forvirret av begrepene på dette området. Hva er SSL, TLS og HTTPS? Hva er forskjellen mellom dem?
TLS er det nye navnet på SSL. SSL-protokollen kom nemlig til versjon 3.0; TLS 1.0 er "SSL 3.1". TLS-versjoner som for øyeblikket er definert inkluderer TLS 1.1 og 1.2. Hver nye versjon legger til noen få funksjoner og endrer noen interne detaljer. Vi sier noen ganger "SSL/TLS".
HTTPS er HTTP innenfor SSL/TLS. SSL (TLS) etablerer en sikker, toveis tunnel for vilkårlige binære data mellom to verter. HTTP er en protokoll for å sende forespørsler og motta svar, der hver forespørsel og hvert svar består av detaljerte overskrifter og (muligens) noe innhold. HTTP er ment å kjøre over en toveis tunnel for vilkårlige binære data; når tunnelen er en SSL/TLS-forbindelse, kalles det hele "HTTPS".
For å forklare akronymene:
SSL og TLS er protokoller som tar sikte på å gi personvern og dataintegritet mellom to parter (se RFC 2246), designet for å kjøre over en pålitelig kommunikasjonsprotokoll (vanligvis TCP). Selv om TLS-spesifikasjonen ikke snakker om sockets, ble utformingen av SSL/TLS gjort slik at applikasjoner kunne bruke dem nesten som tradisjonelle TCP-sockets, for eksempel
SSLSocket
i Java utviderSocket
(det er imidlertid små forskjeller når det gjelder brukervennlighet). HTTPS er HTTP over SSL/TLS, der SSL/TLS-forbindelsen opprettes først, og deretter utveksles vanlige HTTP-data over denne SSL/TLS-forbindelsen. Om du bruker SSL eller TLS til dette, avhenger av konfigurasjonen av nettleseren din og serveren (det finnes vanligvis et alternativ for å tillate SSLv2, SSLv3 eller TLS 1.x). Detaljer om hvordan HTTP og SSL/TLS danner HTTPS finnes i RFC 2818. Når det gjelder forskjellen mellom SSL og TLS, kan du være interessert i disse to svarene jeg skrev for disse lignende spørsmålene på StackOverflow og ServerFault:STARTTLS
i LDAP/SMTP). Dette er beskrevet i RFC 2817. Så vidt jeg vet brukes dette nesten aldri (og det er ikke det som brukes avhttps://
i nettlesere). Den viktigste relevante delen av denne RFC-en er avsnittet omCONNECT
for HTTP-proxy-servere (dette brukes av HTTP-proxy-servere til å videresende HTTPS-forbindelser).SSL VS TLS
Begrepene SSL og TLS brukes ofte om hverandre eller i forbindelse med hverandre (TLS/SSL), men den ene er faktisk forgjengeren til den andre - SSL 3.0 tjente som grunnlag for TLS 1.0, som derfor noen ganger omtales som SSL 3.1.
Hvilken er sikrere SSL eller TLS
Når det gjelder sikkerhet, anses de begge som like sikre.
Hovedforskjellen er at mens SSL-tilkoblinger begynner med sikkerhet og fortsetter direkte til sikret kommunikasjon, begynner TLS-tilkoblinger først med et usikkert "hei" til serveren og bytter først til sikret kommunikasjon etter at håndtrykket mellom klienten og serveren er vellykket. Hvis TLS-håndtrykket av en eller annen grunn mislykkes, opprettes forbindelsen aldri.
(SSL og TLS vs HTTP)
HTTP-protokollen brukes til å be om og motta dataene og https der ' s ' er ingenting annet enn sikker SSL som gjør at http-protokollforespørselen og mottaksaktiviteten er kryptert slik at ingen mellommannangriper lett kan få tak i dataene.
Hvis verken SSL eller TLS brukes sammen med HTTP
er forbindelsen din med webserveren ukryptert, og alle dataene sendes i klartekst, slik at enhver angriper kan få tak i og se dataene.
så du bør bruke SSL eller TLS
vel, begge er de samme, men TLS er mer utvidbar og håper å få mer støtte i fremtiden og TLS er bakoverkompatibel.