TLS क्या है और यह SSL की तुलना कैसे करता है?

13

TLS SSL का "नया" संस्करण है? यह किन विशेषताओं को जोड़ता है, या सुरक्षा समस्याओं को संबोधित करता है?

SSL का समर्थन करने वाली कोई भी चीज़ TLS का समर्थन कर सकती है? स्विच बनाने में क्या शामिल होगा? क्या स्विच इसके लायक है?

ऐसा क्यों है कि ईमेल "अवसरवादी टीएलएस" और वीपीएन को अक्सर एसएसएल वीपीएन कहा जाता है? क्या तकनीक में अंतर है, शायद "टीएलएस वीपीएन" उत्पाद लाइन के लिए जगह बना रहा है?

— goodguys_activate
स्रोत

11

टीएलएस और एसएसएल बारीकी से संबंधित तकनीकें हैं।

सबसे पहले, ईमेल और अवसरवादी टीएलएस। ईएसएमपी में एक एन्क्रिप्टेड लिंक पर बातचीत का वास्तविक डेटा ट्रांसफर भाग प्रदर्शन करने का विकल्प है। यह प्रोटोकॉल का हिस्सा है और इसे अपने अधिकांश अस्तित्व के लिए TLS कहा जाता है। यह इस तरह मोटे तौर पर काम करता है:

-> EHLO foreignmailer.example.com
<- 250 Howdy, stranger
<- [list of capabilities, of which TLS is listed]
-> [Indicates it wants to start a TLS session]
<- [accepts negotioation]
-> [Mail actions, of which LOGIN might be one]

एक बार टीएलएस सत्र शुरू हो जाने के बाद, नए लॉगिन तरीके उपलब्ध हो सकते हैं। यह एक प्रोटोकॉल का एक उदाहरण है जिसमें सीधे लेन-देन सुरक्षा शामिल है। उपयोग किए गए प्रमाणपत्र उसी तरह के प्रमाणपत्र हैं जो एसएसएल ओवर HTTP के लिए उपयोग किए जाते हैं।

ऐसी सेवा के उदाहरण के लिए जिसमें सीधे TLS शामिल नहीं है, POP3-over-SSL लें। उस स्थिति में, सुरक्षित प्रोटोकॉल पर बातचीत करने से पहले सुरक्षित सत्र पर बातचीत की जाती है। संक्षेप में, POP3 को एक सुरक्षित सत्र के अंदर समझाया जा रहा है।

सामान्य तौर पर, यदि कोई सेवा एसएसएल का समर्थन करती है तो उसे टीएलएस का समर्थन करने के लिए बढ़ाया जा सकता है। सेवा के रख-रखाव तक किया गया है या नहीं। इसका मतलब यह है कि TLS SSL को "SSL VPN" में बदल सकता है।

एसएसएल वीपीएन उनके IPSec आधारित चचेरे भाई से अलग हैं जिसमें सुरक्षित सत्र एक अलग स्तर पर किया जाता है। SSL वीपीएन अपने काम को उसी तरह से करते हैं जैसे कि POP3-over-SSL करता है, उस ट्रैफ़िक में मौजूदा टीसीपी कनेक्शन पर इनकैप्सुलेट किया जाता है। IPSec वीपीएन एक आईपी-स्तरीय सुरक्षित सुरंग बनाते हैं, जहां एसएसएल वीपीएन एक टीसीपी-स्तर सुरक्षित सुरंग बनाते हैं । एसएसएल वीपीएन लेने का कारण लगता है कि वे स्थापित करना आसान हैं और खराब नेटवर्क स्थितियों के प्रति अधिक सहिष्णु हैं। एसएसएल वीपीएन सत्र को सुरक्षित करने के लिए टीएलएस प्रोटोकॉल का उपयोग कर सकते हैं और कर सकते हैं, हालांकि यह वीपीएन के निर्माता पर निर्भर करता है।

एसएसएल और टीएलएस के बीच सटीक प्रोटोकॉल स्तर के अंतर के रूप में, मैं इसमें नहीं आ सकता। TLS एक मानक के रूप में एसएसएल की तुलना में बाद में आया था और इसलिए शुरुआती एसएसएल संस्करणों में सीखे गए कुछ पाठ शामिल हैं। SSLv3 को 1996 में वापस लाया गया और 1999 में TLS1.0, और आगे प्रोटोकॉल विकास TLS सूट तक सीमित प्रतीत होता है। SSLv1 और v2 को दूर जाने में एक लंबा समय लगा है। TLS SSL सुइट का स्पष्ट उत्तराधिकारी है।

— sysadmin1138
स्रोत

SSLv3 को कब जाना चाहिए और इसे TLS द्वारा प्रतिस्थापित किया जाना चाहिए? आज या निकट भविष्य में कोई भी परिस्थिति जो यह प्रासंगिक होगी?

— goodguys_activate

@ MakerOfThings7 ब्राउज़र समर्थन के मामले में, यह तब तक चलेगा जब 90% सक्रिय रूप से ब्राउज़ करने वाले उपयोगकर्ता TLS को SSLv3 पर वापस जाने के बिना समर्थन करते हैं। शायद अगले 5-7 वर्षों में कुछ समय होगा। यदि एसएसवी 3 में एक आसान शोषण कमजोरी का पता चला है तो यह बदल सकता है जो एक अधिक तेजी से रोल-आउट को मजबूर करेगा।

— sysadmin1138

2

SSL v 3 और TLSv1 को BEAST हमले Luxsci.com/blog/… ) में तोड़ा गया , और SSL v3 को फिर से POODLE ( arstechnica.com/security/2014/10/… ) के माध्यम से बनाया गया है। उम्मीद है कि हम TL 1.2 का उपयोग अधिक करने के लिए धक्का दे सकते हैं अक्सर

— जिम बी

TLS 1.2 के लिए विशेष टूल यहां दिए गए हैं। टूल.ओईटी.ओआरजी / आरईएफसी 5246 और 1.3 के लिए (वर्तमान में ड्राफ्ट) यहां हैं ietf.org/id/draft-ietf-tls-tls13-02.txt

— जिम

5

TLS अनिवार्य रूप से SSL का अपग्रेड है। इसमें परिवर्तन नाटकीय नहीं हैं, लेकिन SSL3.0 के साथ संगतता को तोड़ने के लिए पर्याप्त महत्वपूर्ण है।

विकिपीडिया लेख इसे बड़े पैमाने पर है, लेकिन काफी समझा जा सकता मामले में शामिल किया गया। (मुझे आरटीएफएम से कोई मतलब नहीं है, लेकिन मैं वहां सब कुछ दोहराना नहीं चाहता।)

वे समान तरीकों से उपयोग किए जाते हैं, और अभी भी एसएसएल के रूप में संदर्भित होते हैं। मूल रूप से, आप अपनी एन्क्रिप्शन स्कीम को एक या दूसरे के रूप में चुनते हैं।

— gWaldo
स्रोत

5

+1, सबसे बड़ा अंतर यह है कि SSL अंतर्निहित एन्क्रिप्शन है, जिसका अर्थ है कि कनेक्शन एन्क्रिप्शन हैंडशेक से शुरू होता है और तब तक कुछ भी नहीं करता जब तक कि सफल न हो जाए। टीएलएस स्पष्ट है, कनेक्शन शुरू होता है और कुछ बिंदु पर ग्राहक संचार को एन्क्रिप्ट करना शुरू करने के लिए कहता है।

— क्रिस एस

1

@ क्रिस: क्या आप इसके बारे में निश्चित हैं? opensslअसहमत लगता है। (कई कार्यक्रम "टीएलएस" कहते हैं, जब उनका अर्थ "

— टीटीटीएलएस

@ गौरव, मुझे लगता है कि आप एसएसएल के साथ टीएलएस के कमबैक मोड को भ्रमित कर रहे हैं। कई ऐप्स TLS रैपर का उपयोग करेंगे जो एक SSL बातचीत को पहचानते हैं और तुरंत हैंडशेक शुरू करते हैं। अगर कोई ऐप शुद्ध TLS (w / o परती) चला रहा है, तो उसे एन्क्रिप्शन हैंडशेक शुरू होने से पहले STARTTLS (या समतुल्य, यह प्रोटोकॉल निर्भर है, हालांकि अधिकांश प्रोटोकॉल का उपयोग होता है) जारी करना होगा।

— क्रिस एस

उन सभी टिप्पणियों पर एसएसएल / टीएलएस अन्य प्रोटोकॉल द्वारा उपयोग किया जा रहा है। SSLv3 और TLSv1.0 लगभग समान हैं जो केवल प्रोटोकॉल विशेषज्ञों को ज्ञात अंतर के साथ हैं।

— नास्को

इसके अलावा, टीएलएस एसएसएल के साथ संगतता को नहीं तोड़ता है, कृपया अपने स्रोतों को सत्यापित करें।

— नास्को

3

एसएसएल के रूप में पहले से ही लोगों ने बताया कि अतीत में नेटस्केप द्वारा डिज़ाइन किया गया एक प्रोटोकॉल है। कुछ बिंदु पर IETF मानकों के शरीर ने SSLv3 प्रोटोकॉल को एक मानक के रूप में अपनाने का फैसला किया, इसलिए इसमें बहुत ही सूक्ष्मता से बदलाव आया और इसे TLSv1.0 नाम दिया गया।

तो ज्यादातर लोगों के लिए, TLSv1.0 SSLv3 के लगभग बराबर है। लोग अभी भी प्रोटोकॉल के परिवार को कहते हैं एसएसएल ऐतिहासिक कारणों की वजह से है - हर किसी के नाम का उपयोग किया जाता है, इसलिए वे इसका उपयोग करते रहते हैं। वीपीएन को कवर के तहत टीएलएस का उपयोग करना काफी संभव है, लेकिन मार्केटिंग का नाम अभी भी एसएसएल वीपीएन के रूप में रहता है।

TLSv1.0 के बाद से, मानक के दो संशोधन हुए हैं और यह अब TLSv1.2 पर है, जो अभी भी संगत है, इसमें कुछ महत्वपूर्ण बदलाव हैं। एसएसएल / टीएलएस डिज़ाइन के कारण, क्लाइंट और सर्वर दोनों उस प्रोटोकॉल के किस संस्करण का उपयोग कर सकते हैं, के लिए बातचीत कर सकते हैं, इसलिए TLSv1.0 का उपयोग करने वाले क्लाइंट अभी भी TLSv1.2 और इसके विपरीत लागू करने वाले सर्वर से बात कर सकते हैं।

प्रोटोकॉल के सभी संस्करणों के बीच अंतर को ध्यान में रखते हुए, कोई "स्विच बनाना" नहीं है, क्योंकि वे एक ही परिवार हैं। यह एक सवाल है "क्या मुझे नए संस्करण का उपयोग करने की आवश्यकता है?"। किसी भी अन्य क्षेत्र के साथ, इस प्रश्न का उत्तर इस बात पर निर्भर करेगा कि आप जिस वर्तमान संस्करण का उपयोग कर रहे हैं, उसकी कोई सीमाएं हैं या नहीं। वर्तमान में SSLv3 का उपयोग करने में कोई समस्या नहीं है, लेकिन अधिकांश ग्राहक और सर्वर TLSv1.0 के साथ काम करते हैं।

मुझे उम्मीद है कि यह तस्वीर को थोड़ा स्पष्ट करता है। यदि नहीं, तो मुझे बताएं कि क्या अभी भी भ्रमित है मैं आगे समझाने की कोशिश करूंगा।

— Nasko
स्रोत

0

TLS SSL का "नया" संस्करण है? यह किन विशेषताओं को जोड़ता है, या सुरक्षा समस्याओं को संबोधित करता है?

टीएलएस टी रैंस्पोर्ट एल अय्यर एस इक्वैलिटी है और आम तौर पर एसएमटीपी मेल सर्वरों में STARTTLS कमांड को संदर्भित करता है। यह एसएसएल का उपयोग कर सकता है या नहीं कर सकता है (उदाहरण के लिए एसईई पाम वर्मल) लेकिन सामान्य रूप से एसएसएल मुख्य सुरक्षा प्रणाली है। TLS का उपयोग अन्य उद्देश्यों (जैसे HTTP) के लिए भी किया गया है और नवीनतम RFC कल्पना 1.2 संस्करण में है

SSL का समर्थन करने वाली कोई भी चीज़ TLS का समर्थन कर सकती है? स्विच बनाने में क्या शामिल होगा? क्या स्विच इसके लायक है?

आम तौर पर लेकिन कुछ भी, टीएलएस के विचार के साथ, आप मेलस्वेर्स का उल्लेख कर रहे हैं, इसलिए विशेष रूप से मेलवेस्टर जिनके पास एसएसएल सर्टिफिकेट है, वे मेल ट्रांसफर करने और मेल प्राप्त करने के लिए टीएलएस का उपयोग कर सकते हैं।

ऐसा क्यों है कि ईमेल "अवसरवादी टीएलएस" और वीपीएन को अक्सर एसएसएल वीपीएन कहा जाता है? क्या तकनीक में अंतर है, शायद "टीएलएस वीपीएन" उत्पाद लाइन के लिए जगह बना रहा है?

इस तरह की बदबू आती है जैसे कि मार्केटिंग के कमरे में मिला। "ऑपर्च्युनिस्टिक टीएलएस" का सीधा सा मतलब है कि अगर स्टार्टअप 220 (टीएलएस शुरू करने के लिए तैयार) वापस नहीं आता है और वैसे भी ईमेल भेज सकता है। ध्यान दें कि TLS एक SENDER विकल्प है न कि एक पुनर्विक्रेता विकल्प जो कुछ मेल सर्वरों के साथ गैर-TLS मेल को अस्वीकार करने के लिए संभव हो सकता है, लेकिन यह नियम नहीं अपवाद होगा।

टीएलएस भी पारस्परिक प्रमाणीकरण का समर्थन करता है न कि किसी कनेक्शन का केवल एन्क्रिप्शन।

एक वीपीएन (चाहे एसएसएल या कोई अन्य सुरक्षा योजना) पर एक ईमेल भेजना केवल मेलर्स सुरक्षा को अनिवार्य रूप से अप्रासंगिक बना देता है, आप एक वीपीएन पर टीएलएस का उपयोग कर सकते हैं (और आप वीएलएस सुरक्षा योजना के रूप में भी टीएलएस का उपयोग कर सकते हैं) लेकिन यह जरूरी नहीं कि कैसे प्रभावित करता है यदि केवल VPn कनेक्शन को मेलस्वेर्सर्स के बीच एन्क्रिप्ट किया जाता है (तो स्रोत और गंतव्य मेलस्वेर्वर्स से, उन्हें मानक क्लीयरटेक् ट ट्रांसमिट किया जा सकता है)

— जिम बी
स्रोत

क्षमा करें मैं असहमत हूं। टीएलएस आमतौर पर एसएमटीपी में STARTTLS कमांड का उल्लेख नहीं करता है। आपके द्वारा पढ़ा गया कोई भी दस्तावेज़ TLS को TLS प्रोटोकॉल के रूप में संदर्भित करेगा, जिसका उपयोग SMTP द्वारा इसके ट्रैफ़िक की सुरक्षा के लिए किया जाता है। अब जब "अवसरवादी टीएलएस" की बात आती है, तो आप उच्च स्तर के प्रोटोकॉल को शामिल कर सकते हैं जिनके पास टीएलएस का उपयोग करने का "अवसर" है या नहीं।

— नास्को

आप निश्चित रूप से असहमत हैं, लेकिन यदि आप 10 प्रशंसा पूछते हैं कि टीएलएस 9 के लिए उपयोग किया जाता है, तो ईमेल कहेंगे। यहां तक कि प्रश्न टीएलएस के बारे में ईमेल भी मानते हैं। मैं यह भी उल्लेख करता हूं कि टीएलएस का उपयोग अन्य चीजों के लिए किया जाता है। आरएफसी 2434 परिभाषित करता है कि सर्वरफेलो संदेश में किस सिफर से बातचीत की जा सकती है- इसका अवसरवादी टीएलएस से कोई लेना-देना नहीं है। SMTP doies nto किसी भी एन्क्रिप्शन को परिभाषित करता है। RFC 3207 एक सर्वर एक्सटेंशन के रूप में starttls को परिभाषित करता है

— जिम B

"टीएलएस" केवल "STARTTLS" को गलत तरीके से संदर्भित करता है। STARTTLS दृष्टिकोण को सामान्य बनाने के लिए एक कीवर्ड है, लेकिन इसके लिए प्रारंभिक प्रोटोकॉल में एकीकरण की आवश्यकता होती है। STARTTLS कमांड SMTP और IMAP में समान है, लेकिन LDAP में सिंटैक्स में एकीकृत होने की आवश्यकता है; S- HTTP (HTTPS नहीं) में एक ही तंत्र उस कीवर्ड का उपयोग नहीं करता है। ऐसा नहीं है क्योंकि मेल क्लाइंट शुरुआती और अवसरवादी एसएसएल / टीएलएस के बीच एक विकल्प चुनने के लिए "एसएसएल" और "टीएलएस" के बीच एक विकल्प प्रदान करते हैं कि उनके नाम का उपयोग सही है। मुझे यकीन है कि कुछ एसएमटीपीएस सर्वर टीएलएसवी 1 को बहुत अच्छी तरह से अपफ्रंट का समर्थन करते हैं। STARTTLS का उपयोग करने के बाद आप कुछ SSLv3 भी देख सकते हैं।

— ब्रूनो

1

वह उत्तर गलत है। टीएलएस या एसएसएल शुरू करने के लिए STARTTLS कई प्रोटोकॉल (जैसे, एसएमटीपी) में इस्तेमाल होने वाला एक कमांड है। इसके अलावा वे अप्रासंगिक हैं।

— निकोस