विकिपीडिया के अनुसार: http://en.wikipedia.org/wiki/Transport_Layer_Security
TLS की तरह लगता है एसएसएल के लिए एक प्रतिस्थापन है, लेकिन ज्यादातर वेबसाइटों अभी भी एसएसएल का उपयोग कर रहे हैं?
विकिपीडिया के अनुसार: http://en.wikipedia.org/wiki/Transport_Layer_Security
TLS की तरह लगता है एसएसएल के लिए एक प्रतिस्थापन है, लेकिन ज्यादातर वेबसाइटों अभी भी एसएसएल का उपयोग कर रहे हैं?
जवाबों:
संक्षेप में, TLSv1.0 अधिक या कम SSLv3.1 है। आप सर्वरफ़ॉल्ट पर इस प्रश्न में अधिक विवरण पा सकते हैं ।
अधिकांश वेबसाइट वास्तव में SSLv3 और TLSv1.0 दोनों का समर्थन करती हैं, क्योंकि यह अध्ययन इंगित करता है (ली, मलकिन और नहूम का पेपर: SSL / TLS सर्वर की क्रिप्टोग्राफ़िक स्ट्रेंथ: करंट और हालिया प्रैक्टिस , IMC 2007) ( IETF TLS सूची से प्राप्त लिंक ) )। 98% से अधिक समर्थन TLSv1 +।
मुझे लगता है कि इसका कारण है कि एसएसएलवी 3 अभी भी उपयोग में है, विरासत समर्थन के लिए था (हालांकि अधिकांश ब्राउज़र टीएलएसवी 1 और कुछ टीएलएसवी 1.1 या यहां तक कि आजकल टीएलएसवी 1 का समर्थन करते हैं)। कुछ समय पहले तक, कुछ वितरणों में अभी भी SSLv2 (असुरक्षित माना जाता था) दूसरों के साथ डिफ़ॉल्ट रूप से था।
(आपको यह प्रश्न दिलचस्प भी लग सकता है , हालांकि यह एसएसएल बनाम टीएलएस के बजाय टीएलएस के उपयोग पैटर्न के बारे में है (आप वास्तव में एसएसएल के साथ एक ही पैटर्न हो सकते हैं) यह एचटीटीपीएस पर वैसे भी लागू नहीं होता है, क्योंकि एचटीटीपीएस एसएसएल / टीएलएस का उपयोग करता है। कनेक्शन की शुरुआत से।)
से http://www.thoughtcrime.org/blog/ssl-and-the-future-of-authenticity/
90 के दशक की शुरुआत में, वर्ल्ड वाइड वेब के भोर में, नेटस्केप के कुछ इंजीनियरों ने सुरक्षित HTTP अनुरोध करने के लिए एक प्रोटोकॉल विकसित किया, और जो वे साथ आए, उसे एसएसएल कहा जाता था। उस समय सुरक्षित प्रोटोकॉल के विषय में ज्ञान के अपेक्षाकृत दुर्लभ शरीर को देखते हुए, साथ ही नेटस्केप में हर किसी के लिए गहन दबाव काम कर रहा था, उनके प्रयासों को केवल अविश्वसनीय रूप से वीर के रूप में देखा जा सकता है। यह आश्चर्यजनक है कि एसएसएल ने उसी विंटेज से कई अन्य प्रोटोकॉल के विपरीत, जितने लंबे समय के लिए स्थायी किया है। हमने निश्चित रूप से तब से बहुत कुछ सीखा है, हालांकि, प्रोटोकॉल और एपीआई के बारे में बात यह है कि बहुत कम वापस जा रहा है।
SSL प्रोटोकॉल के दो प्रमुख अपडेट थे, SSL 2 (1995) और SSL 3 (1996)। गोद लेने में आसानी के लिए, ये पीछे की ओर संगत होने के लिए सावधानीपूर्वक किए गए थे। हालाँकि, पश्चगामी संगतता एक सुरक्षा प्रोटोकॉल के लिए एक बाधा है , जिसके लिए यह पीछे की ओर कमजोर हो सकता है।
इस प्रकार बैकवर्ड कॉम्पिटिटैलिटी और टीएलएस 1.0 (1999) नामक नए प्रोटोकॉल को तोड़ने का निर्णय लिया गया । (अड़चन में, यह स्पष्ट रूप से इसका नाम टीएलएस 4 होगा)
इस प्रोटोकॉल और एसएसएल 3.0 के बीच अंतर नाटकीय नहीं हैं, लेकिन वे काफी महत्वपूर्ण हैं कि टीएलएस 1.0 और एसएसएल 3.0 इंटरऑपरेट नहीं करते हैं।
टीएलएस को दो बार संशोधित किया गया है, टीएलएस 1.1 (2006) और टीएलएस 1.2 (2008)।
2015 तक, सभी एसएसएल संस्करण टूटे हुए हैं और असुरक्षित (POODLE अटैक) और ब्राउज़र समर्थन को हटा रहे हैं। टीएलएस 1.0 सर्वव्यापी है, लेकिन केवल 60% साइटें टीएलएस 1.1 और 1.2 का समर्थन करती हैं , जो मामलों का खेद राज्य है।
यदि आप इस सामान में दिलचस्पी रखते हैं, तो मैं https://www.youtube.com/watch?v=Z7Wl2FW2TcA पर मोक्सी मार्लिंस्पाइक की चतुर और मज़ेदार बात करने की सलाह देता हूँ
टीएलएस एसएसएल के साथ पिछड़ी संगतता बनाए रखता है और इसलिए संचार प्रोटोकॉल यहां वर्णित किसी भी संस्करण में लगभग समान है। SSL v.3, TLS 1.0 और TLS 1.2 के बीच दो महत्वपूर्ण अंतर, छद्म-यादृच्छिक फ़ंक्शन (PRF) और HMAC हैशिंग फ़ंक्शन (SHA, MD5, हैंडशेक) है, जिसका उपयोग सममित कुंजी के ब्लॉक के निर्माण के लिए किया जाता है अनुप्रयोग डेटा एन्क्रिप्शन (सर्वर कुंजियाँ + क्लाइंट कुंजियाँ + IV)। टीएलएस 1.1 और टीएलएस 1.2 के बीच प्रमुख अंतर यह है कि 1.2 को सीबीसी हमलों से बचाने के लिए "स्पष्ट" IV के उपयोग की आवश्यकता होती है, हालांकि इसके लिए आवश्यक पीआरएफ या प्रोटोकॉल में कोई बदलाव नहीं है। टीएलएस 1.2 पीआरएफ सिफर-सूट-विशिष्ट है, जिसका अर्थ है कि पीआरएफ को हैंडशेक के दौरान बातचीत की जा सकती है। एसएसएल मूल रूप से नेटस्केप कम्युनिकेशंस (ऐतिहासिक) द्वारा विकसित किया गया था और बाद में इंटरनेट इंजीनियरिंग टास्क फोर्स (आईईटीएफ, वर्तमान) द्वारा बनाए रखा गया था। TLS नेटवर्क वर्किंग ग्रुप द्वारा बनाए रखा जाता है। TLS में PRF HMAC फ़ंक्शंस के बीच अंतर हैं:
टीएलएस 1.0 और 1.1
PRF (गुप्त, लेबल, बीज) = P_MD5 (S1, लेबल + बीज) XOR P_SHA-1 (S2, लेबल + बीज);
टीएलएस 1.2
PRF (गुप्त, लेबल, बीज) = P_hash (गुप्त, लेबल + बीज)
"अगर यह टूटा नहीं है, तो इसे मत छुओ"। एसएसएल 3 ज्यादातर परिदृश्यों में ठीक काम करता है (अक्टूबर में एसएसएल / टीएलएस प्रोटोकॉल में एक मूलभूत दोष पाया गया था, लेकिन यह स्वयं एक प्रोल से अधिक अनुप्रयोगों का दोष है), इसलिए डेवलपर्स अपने एसएसएल मॉड्यूल को अपग्रेड करने में जल्दबाजी नहीं करते हैं। टीएलएस कई उपयोगी एक्सटेंशन और सुरक्षा एल्गोरिदम लाता है, लेकिन वे इसके अतिरिक्त हैं और आवश्यक नहीं हैं। इसलिए अधिकांश सर्वरों पर टीएलएस एक विकल्प है। यदि सर्वर और क्लाइंट दोनों इसका समर्थन करते हैं, तो इसका उपयोग किया जाएगा।
अद्यतन: '2016 एसएसएल 3 में, और यहां तक कि टीएलएस 1.2 तक विभिन्न हमलों के लिए असुरक्षित पाया जाता है और टीएलएस 1.2 में माइग्रेशन की सिफारिश की जाती है। टीएलएस 1.2 के कार्यान्वयन पर भी हमले मौजूद हैं, हालांकि वे सर्वर-निर्भर हैं। टीएलएस 1.3 वर्तमान में विकास में है। और अब टीएलएस 1.2 एक होना चाहिए।
https://hpbn.co/transport-layer-security-tls/ एक अच्छा परिचय है
एसएसएल प्रोटोकॉल मूल रूप से वेब पर ईकॉमर्स लेनदेन सुरक्षा को सक्षम करने के लिए नेटस्केप में विकसित किया गया था, जो ग्राहकों के व्यक्तिगत डेटा की सुरक्षा के लिए एन्क्रिप्शन की आवश्यकता है, साथ ही एक सुरक्षित लेनदेन सुनिश्चित करने के लिए प्रमाणीकरण और अखंडता की गारंटी देता है। इसे प्राप्त करने के लिए, एसएसएल प्रोटोकॉल को सीधे लेयर पर लागू किया गया, सीधे टीसीपी के ऊपर (चित्र 4-1), इसके ऊपर प्रोटोकॉल को सक्षम करते हुए (HTTP, ईमेल, इंस्टेंट मैसेजिंग, और कई अन्य) संचार सुरक्षा प्रदान करते हुए अपरिवर्तित संचालित करने के लिए जब पूरे नेटवर्क में संचार करना।
जब SSL सही तरीके से उपयोग किया जाता है, तो एक तृतीय-पक्ष पर्यवेक्षक केवल कनेक्शन समापन बिंदु, एन्क्रिप्शन का प्रकार, साथ ही आवृत्ति और भेजे गए डेटा की अनुमानित मात्रा का अनुमान लगा सकता है, लेकिन किसी भी वास्तविक डेटा को पढ़ या संशोधित नहीं कर सकता है।
एसएसएल 2.0 प्रोटोकॉल का पहला सार्वजनिक रूप से जारी किया गया संस्करण था, लेकिन कई खोजे गए सुरक्षा दोषों के कारण इसे एसएसएल 3.0 द्वारा जल्दी से बदल दिया गया। क्योंकि SSL प्रोटोकॉल नेटस्केप के लिए स्वामित्व था, IETF ने प्रोटोकॉल को मानकीकृत करने का प्रयास किया, जिसके परिणामस्वरूप RFC 2246, जो जनवरी 1999 में प्रकाशित हुआ और जिसे TLS 1.0 के रूप में जाना गया। तब से, IETF ने सुरक्षा खामियों को दूर करने के लिए प्रोटोकॉल पर चलना जारी रखा है, साथ ही साथ अपनी क्षमताओं का विस्तार करने के लिए: TLS 1.1 (RFC 2246) अप्रैल 2006 में, TLS 1.2 (RFC 5246) अगस्त 2008 में प्रकाशित किया गया था, और अब काम कर रहा है। टीएलएस 1.3 को परिभाषित करने के लिए चल रहा है।