38 votos

¿Qué son exactamente nivel de protocolo diferencias entre SSL y TLS?

Esta es una técnica de inmersión profunda después de esta visión general se preguntó.

¿Qué son el protocolo diferencias entre SSL y TLS?
Hay realmente una diferencia suficiente como para justificar un cambio de nombre? (frente a la llamada "SSLv4" o SSLv5 para las nuevas versiones de TLS)

36voto

Bruno Puntos 3033

SSLv2 y SSLv3 son completamente diferentes (y ambos son ahora considerados inseguros). SSLv3 y TLSv1.0 son muy similares, pero tienen algunas diferencias.

Usted podría considerar la posibilidad de TLSv1.0 como SSLv3.1 (de hecho eso es lo que sucede dentro de los registros intercambiados). Es simplemente más fácil de comparar el TLSv1.0 con TLSv1.1 y TLSv1.2 porque todos ellos han sido editados dentro de la IETF y seguir más o menos la misma estructura. SSLv3 ser editado por una institución diferente (Netscape), se hace un poco más difícil detectar las diferencias.

Aquí hay un par de diferencias, pero dudo que pueda lista de todos:

  • En la ClientHello mensaje (primer mensaje enviado por el cliente, para iniciar el apretón de manos), la versión es {3,0} de SSLv3, {3,1} de TLSv1.0 y {3,2} de TLSv1.1.
  • El ClientKeyExchange diferencia.
  • El MAC/HMAC difiere (TLS utiliza HMAC mientras que SSL utiliza una versión anterior de HMAC).
  • La clave de la derivación es diferente.
  • La aplicación cliente los datos pueden ser enviados directamente después de enviar el SSL/TLS Finished mensaje en SSLv3. En TLSv1, debe esperar a que el servidor de la Finished mensaje.
  • La lista de conjuntos de cifrado diferentes (y algunos de ellos han cambiado de nombre SSL_* a TLS_*, manteniendo el mismo número de id).
  • También hay diferencias en cuanto a la nueva re-negociación de la extensión.

Recomiendo Eric Rescorla del libro - SSL y TLS: Diseño y Construcción de Sistemas de seguridad, Addison-Wesley, 2001 ISBN 0-201-61598-3, si usted realmente desea más detalles. He aprendido acerca de algunos de los puntos anteriores de este libro. El autor ocasionalmente se menciona las diferencias entre SSLv3 y TLS (v1.0 sólo en el momento en que el libro fue escrito) a la hora de explicar algunas de las SSL/TLS mensaje, pero sí es necesario que el fondo de la explicación acerca de estos mensajes para tener una oportunidad de entender (y no es apropiado el copy/paste de este libro aquí).

4voto

lewinski Puntos 2685

Yo sólo echo las otras respuestas, pero tal vez con algo un poco diferente énfasis.

Hubo un protocolo secure sockets que era "propiedad" de Netscape que fue llamado SSL versión 2. Una nueva versión con un registro diferente estructura y mejoras de seguridad también son "propiedad" de Netscape fue liberado y se llama SSL versión 3. Dentro del protocolo en varios lugares es una versión binaria del número de campo. Para SSL versión 3, este campo se establece en 0x03 0x00, es decir, la versión 3.0. A continuación, el IETF se decidió a crear su propia norma. Posiblemente porque algunos de los de propiedad intelectual de las incertidumbres acerca de SSL, incluyendo si "SSL" fue una Netscape marca, cuando el IETF lanzó la siguiente versión de este protocolo que dio su propio nombre: la Capa de Transporte el protocolo de Seguridad, o TLS versión 1.0. El formato de registro y la estructura general es idéntico y en consonancia con SSL v3. La versión binaria del número se fue de gira a 0x03 0x01, y como otros han señalado que hubo algunos pequeños crypto cambios. No ha sido TLS versión 1.1 y 1.2, para que los internos de los números de protocolo son 0x03 0x02 0x03 0x03.

Ignorando SSLv2, era básicamente un cambio de nombre, junto con el protocolo normal ajuste fino de lo que sucede en las personas más inteligentes acerca de la seguridad y el rendimiento.

3voto

Sven Puntos 51980

Fundamentalmente, es una nada, sino un cambio de nombre para una versión más reciente del protocolo. Creo que la principal razón por la que fue, para diferenciarla de la anterior, informal estándar principalmente diseñado por Netscape después se convirtió en un oficial de la IETF seguimiento de normas de protocolo.

Como se dijo en la respuesta a su pregunta anterior, esto no significa SSLv3 y TLSv1.0 son compatibles. Citando RFC 2246:

las diferencias entre el presente protocolo y SSL 3.0 no es dramático, pero son lo suficientemente significativa como para TLS 1.0 y SSL 3.0 no interactúan.

Supongo que si usted realmente quiere saber la causa exacta de las diferencias en los protocolos, usted debe leer las normas y compare usted mismo.

Protocolo SSLv3 proyecto de Netscape TLSv1.0 RFC 2246

0voto

aleroot Puntos 2497

El protocolo de cifrado SSL es ahora llamado TLS, resultando en dos nombres para el mismo protocolo. Software actual va a negociar TLS versión 1 o SSL versión 3 automáticamente. Los humanos, por otro lado, tienen que decidir entre el uso de la más reconocible SSL plazo frente a la oficial TLS designación.

SSL es el predecesor de TLS.

TLS y SSL cifrar los segmentos de conexiones de red en la Capa de Aplicación para garantizar la seguridad de extremo a extremo de tránsito en la Capa de Transporte.

-2voto

LatinSuD Puntos 647

Diferencias:

  • TLS se ejecuta bastante en la parte superior de un protocolo estándar. Una conexión TLS inicia una sesión no cifrada de un servicio estándar, pero en algún momento comienzan las negociaciones de cifrado. Se requiere extender el protocolo estándar para esta negociación.
  • Los protocolos estándar en la parte superior de SSL. Una conexión SSL primera negocia cifrado, a continuación, ejecute el protocolo básico sobre él.

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by: