當前位置:首頁 >  IDC >  安全 >  正文

【SSL行業(yè)】層層揭秘,深度剖析TLS1.3!

 2018-08-24 10:21  來源: 互聯網   我來投稿 撤稿糾錯

  域名預訂/競價,好“米”不錯過

【TLS起源】—由Netscape在九十年代中期開發(fā),并稱其為安全套接字層(SSL)的協(xié)議。到20世紀90年代末,SSL由Netscape交給IETF(互聯網工程任務組:定義互聯網協(xié)議的標準機構),IETF將其重命名為TLS,成為該協(xié)議的管理者。但仍然有許多人將Web加密稱為SSL,即使絕大多數服務已切換到僅支持TLS,SSL這個術語仍受到人們的歡迎。

TLS提供安全性的一個主要方式是支持網站和API等Web服務的HTTPS。通過HTTPS加密,實現瀏覽器和服務器之間的通信加密和身份驗證,確保HTTPS網站呈現給訪問者的內容是真實可信安全的,不會被竊聽及篡改。

【TLS的發(fā)展歷程】

在IETF中,協(xié)議稱為RFC。TLS 1.0是RFC 2246,TLS 1.1是RFC 4346,TLS 1.2是RFC 5246。TLS 1.3是RFC 8446。RFC通常按順序發(fā)布,保留46作為RFC編號的一部分是一個很好的延續(xù)。

舊版本TLS存在著諸多問題:

1、代碼問題,包括Heartbleed,BERserk,goto fail等。這些問題不是協(xié)議基礎問題,而是由于缺乏測試。其實,TLS面臨的更具挑戰(zhàn)的問題與協(xié)議本身有關。

2、時代問題:TLS是90年代的密碼,在當時是具有時代意義的,但時代在不斷發(fā)展,現代密碼學是90年代無法比擬的。

3、速度問題:TLS 1.2實在是太慢了。TLS于1999年標準化以來,在TLS1.2中稱為“握手”的交換基本保持不變。握手需要在發(fā)送加密數據之前在瀏覽器和服務器之間再進行兩次往返(或者在恢復先前連接時進行一次往返)。與單獨的HTTP相比,HTTPS的TLS握手延遲會對以性能為中心的應用產生影響。

【天威誠信揭秘TLS 1.3】

由于IETF不滿意TLS 1.2的過時設計和兩次往返消耗,TLS 1.3誕生。在設計TLS 1.3時IETF曾通過討論提出以下幾個問題:

●減少握手延遲

●加密更多的握手

●提高跨協(xié)議攻擊的彈性

●刪除舊功能

TLS 1.3的設計目標之一是通過消除潛在危險的設計元素來糾正以前的錯誤,并遵循將使互聯網更快、更安全的原則!TLS 1.3的優(yōu)勢是安全性和性能。

1、調整密鑰交換,改進握手

2、刪除RSA加密,將Diffie-Hellman作為唯一的密鑰交換機制

3、Diffie-Hellman調整

TLS 1.3取消Diffie-Hellman選項,在選擇Diffie-Hellman參數時,舊版本提供了太多選項,參與者很容易選擇錯誤,而導致部署受到攻擊。

4、CBC模式密碼被放棄

5、調整數字簽名部分,刪除PKCS#1 v1.5

TLS的另一個重要部分是身份驗證。舊版本中,在Diffie-Hellman模式下,服務器使用數字簽名證明私鑰的所有權。這是錯誤的,TLS 1.3中對其進行了調整。并刪除PKCS#1 v1.5以支持更新的設計RSA-PSS。

6、解決降級攻擊問題

7、TLS 1.3優(yōu)雅而安全的協(xié)議

TLS 1.3通過刪除舊版本中的不安全功能,使其更容易理解,更加快速。在舊版本中,主要的協(xié)商機制是密碼組。密碼套件幾乎涵蓋了可以就連接進行協(xié)商的所有內容:

●支持的證書類型

●用于導出密鑰的散列函數(例如,SHA1,SHA256,...)

●MAC功能(例如,HMAC與SHA1,SHA256,...)

●密鑰交換算法(例如,RSA,ECDHE,......)

●密碼(例如,AES,RC4,......)

●密碼模式(如果適用)(例如,CBC)

舊版本中的密碼套已經發(fā)展成為巨大的字母湯。常用密碼套件的示例是:DHE-RC4-MD5或ECDHE-ECDSA-AES-GCM-SHA256。每個密碼套件由一個名為Internet Assigned Numbers Authority(IANA)的組織維護的表中的代碼點表示。每次引入新密碼時,都需要將一組新的組合添加到列表中。這導致代碼點的組合爆炸,代表著參數的每一個有效選擇。

TLS 1.3刪除了許多這些遺留功能,允許在三個正交協(xié)商之間進行徹底拆分:

●密碼+ HKDF哈希

●密鑰交換

●簽名算法

這種簡化的密碼套件協(xié)商和從根本上減少的協(xié)商參數集開辟了一種新的可能性。使得TLS 1.3握手延遲從兩次往返降至一次往返,從而提供性能提升。在移動網絡上,兩次往返延遲可以高達200ms,這對用戶來說是顯而易見的。

TLS 1.3已經上線,通過本文的解析,TLS 1.3的面紗已被揭開。值得注意的是:只有安裝了SSL證書才能觸發(fā)TLS協(xié)議開通,沒有購買SSL證書的企業(yè),請及時通過天威誠信部署SSL證書,使網站防釣魚,防流量劫持,提升訪客信任度,為更安全更可信的互聯網環(huán)境共同努力!

申請創(chuàng)業(yè)報道,分享創(chuàng)業(yè)好點子。點擊此處,共同探討創(chuàng)業(yè)新機遇!

相關標簽
ssl證書

相關文章

  • 高級SSL證書直降1000+ 安信證書帶你清涼一夏

    夏日炎炎,烈日高照,這個季節(jié)最需要的就是清涼!而安信證書夏季大放價活動,正是為了讓您以清涼的價格,使您的網站可以獲得更加專業(yè)的SSL保護,更加輕松地應對網絡攻擊和數據泄露。此次夏季活動中,有大家比較熟悉的國際知名品牌GeoTrust、Sectigo等,還有DV、OV、EV等不同驗證類型的SSL證書,

    標簽:
    ssl證書

  • 為什么選擇OV SSL證書?OV SSL證書品牌推薦

    OVSSL證書中文全稱為“組織驗證型SSL證書”,該證書除需要驗證網站域名外,還需對網站所屬企業(yè)進行嚴格身份認證審核。通過審核的企業(yè)單位才能簽發(fā)證書,以此來保障網站真實性和合法性。

    標簽:
    ssl證書

  • 嗨翻五一 限時優(yōu)惠 | 通配符SSL證書最高直降3000元

    春未盡,夏初臨,在季節(jié)流轉之間,五一小長假即將如約而至。安信證書(https://www.anxinssl.com/)作為國內領先的https解決方案服務商,為回饋廣大新老用戶,為您的信息安全保駕護航,為大家?guī)砹薙SL數字證書專場活動。精選爆款通配符SSL證書,助您低成本實現網站安全合規(guī)!活動詳情

    標簽:
    ssl證書

  • 為什么需要定期更新SSL證書?

    SSL數字證書對網站運行的安全性起到極大的保障,現如今大多數網站都會安裝部署,可以起到數據加密的作用。通常SSL證書的有效期為一年左右,有效期結束后網站的SSL證書就會失效。如果想要繼續(xù)保護網站,只能提前續(xù)費或重新申請。那么,為什么需要定期更新SSL證書呢?RAKsmart為大家?guī)砗唵谓榻B:1、定

    標簽:
    ssl證書

  • 失去SSL證書的保護,將對網站安全造成哪些影響?

    在經濟全球化、網絡化的時代,重要信息傳輸和產品買賣及服務都需要網絡的支撐,隨著網絡信息技術的深入發(fā)展,網絡安全逐步成為企業(yè)關注的焦點。但現實情況是,全球各地的網絡犯罪分子依然潛伏在各個角落,尋找時機入侵企業(yè)網站,竊取企業(yè)經營數據和用戶敏感信息。如果您的企業(yè)擁有網站尤其是具有交易功能的網站,則必須使用

    標簽:
    ssl證書
加載更多

熱門排行

信息推薦