當(dāng)前位置:首頁(yè) >  IDC >  安全 >  正文

【SSL行業(yè)】層層揭秘,深度剖析TLS1.3!

 2018-08-24 10:21  來(lái)源: 互聯(lián)網(wǎng)   我來(lái)投稿 撤稿糾錯(cuò)

  域名預(yù)訂/競(jìng)價(jià),好“米”不錯(cuò)過

【TLS起源】—由Netscape在九十年代中期開發(fā),并稱其為安全套接字層(SSL)的協(xié)議。到20世紀(jì)90年代末,SSL由Netscape交給IETF(互聯(lián)網(wǎng)工程任務(wù)組:定義互聯(lián)網(wǎng)協(xié)議的標(biāo)準(zhǔn)機(jī)構(gòu)),IETF將其重命名為TLS,成為該協(xié)議的管理者。但仍然有許多人將Web加密稱為SSL,即使絕大多數(shù)服務(wù)已切換到僅支持TLS,SSL這個(gè)術(shù)語(yǔ)仍受到人們的歡迎。

TLS提供安全性的一個(gè)主要方式是支持網(wǎng)站和API等Web服務(wù)的HTTPS。通過HTTPS加密,實(shí)現(xiàn)瀏覽器和服務(wù)器之間的通信加密和身份驗(yàn)證,確保HTTPS網(wǎng)站呈現(xiàn)給訪問者的內(nèi)容是真實(shí)可信安全的,不會(huì)被竊聽及篡改。

【TLS的發(fā)展歷程】

在IETF中,協(xié)議稱為RFC。TLS 1.0是RFC 2246,TLS 1.1是RFC 4346,TLS 1.2是RFC 5246。TLS 1.3是RFC 8446。RFC通常按順序發(fā)布,保留46作為RFC編號(hào)的一部分是一個(gè)很好的延續(xù)。

舊版本TLS存在著諸多問題:

1、代碼問題,包括Heartbleed,BERserk,goto fail等。這些問題不是協(xié)議基礎(chǔ)問題,而是由于缺乏測(cè)試。其實(shí),TLS面臨的更具挑戰(zhàn)的問題與協(xié)議本身有關(guān)。

2、時(shí)代問題:TLS是90年代的密碼,在當(dāng)時(shí)是具有時(shí)代意義的,但時(shí)代在不斷發(fā)展,現(xiàn)代密碼學(xué)是90年代無(wú)法比擬的。

3、速度問題:TLS 1.2實(shí)在是太慢了。TLS于1999年標(biāo)準(zhǔn)化以來(lái),在TLS1.2中稱為“握手”的交換基本保持不變。握手需要在發(fā)送加密數(shù)據(jù)之前在瀏覽器和服務(wù)器之間再進(jìn)行兩次往返(或者在恢復(fù)先前連接時(shí)進(jìn)行一次往返)。與單獨(dú)的HTTP相比,HTTPS的TLS握手延遲會(huì)對(duì)以性能為中心的應(yīng)用產(chǎn)生影響。

【天威誠(chéng)信揭秘TLS 1.3】

由于IETF不滿意TLS 1.2的過時(shí)設(shè)計(jì)和兩次往返消耗,TLS 1.3誕生。在設(shè)計(jì)TLS 1.3時(shí)IETF曾通過討論提出以下幾個(gè)問題:

●減少握手延遲

●加密更多的握手

●提高跨協(xié)議攻擊的彈性

●刪除舊功能

TLS 1.3的設(shè)計(jì)目標(biāo)之一是通過消除潛在危險(xiǎn)的設(shè)計(jì)元素來(lái)糾正以前的錯(cuò)誤,并遵循將使互聯(lián)網(wǎng)更快、更安全的原則!TLS 1.3的優(yōu)勢(shì)是安全性和性能

1、調(diào)整密鑰交換,改進(jìn)握手

2、刪除RSA加密,將Diffie-Hellman作為唯一的密鑰交換機(jī)制

3、Diffie-Hellman調(diào)整

TLS 1.3取消Diffie-Hellman選項(xiàng),在選擇Diffie-Hellman參數(shù)時(shí),舊版本提供了太多選項(xiàng),參與者很容易選擇錯(cuò)誤,而導(dǎo)致部署受到攻擊。

4、CBC模式密碼被放棄

5、調(diào)整數(shù)字簽名部分,刪除PKCS#1 v1.5

TLS的另一個(gè)重要部分是身份驗(yàn)證。舊版本中,在Diffie-Hellman模式下,服務(wù)器使用數(shù)字簽名證明私鑰的所有權(quán)。這是錯(cuò)誤的,TLS 1.3中對(duì)其進(jìn)行了調(diào)整。并刪除PKCS#1 v1.5以支持更新的設(shè)計(jì)RSA-PSS。

6、解決降級(jí)攻擊問題

7、TLS 1.3優(yōu)雅而安全的協(xié)議

TLS 1.3通過刪除舊版本中的不安全功能,使其更容易理解,更加快速。在舊版本中,主要的協(xié)商機(jī)制是密碼組。密碼套件幾乎涵蓋了可以就連接進(jìn)行協(xié)商的所有內(nèi)容:

●支持的證書類型

●用于導(dǎo)出密鑰的散列函數(shù)(例如,SHA1,SHA256,...)

●MAC功能(例如,HMAC與SHA1,SHA256,...)

●密鑰交換算法(例如,RSA,ECDHE,......)

●密碼(例如,AES,RC4,......)

●密碼模式(如果適用)(例如,CBC)

舊版本中的密碼套已經(jīng)發(fā)展成為巨大的字母湯。常用密碼套件的示例是:DHE-RC4-MD5或ECDHE-ECDSA-AES-GCM-SHA256。每個(gè)密碼套件由一個(gè)名為Internet Assigned Numbers Authority(IANA)的組織維護(hù)的表中的代碼點(diǎn)表示。每次引入新密碼時(shí),都需要將一組新的組合添加到列表中。這導(dǎo)致代碼點(diǎn)的組合爆炸,代表著參數(shù)的每一個(gè)有效選擇。

TLS 1.3刪除了許多這些遺留功能,允許在三個(gè)正交協(xié)商之間進(jìn)行徹底拆分:

●密碼+ HKDF哈希

●密鑰交換

●簽名算法

這種簡(jiǎn)化的密碼套件協(xié)商和從根本上減少的協(xié)商參數(shù)集開辟了一種新的可能性。使得TLS 1.3握手延遲從兩次往返降至一次往返,從而提供性能提升。在移動(dòng)網(wǎng)絡(luò)上,兩次往返延遲可以高達(dá)200ms,這對(duì)用戶來(lái)說(shuō)是顯而易見的。

TLS 1.3已經(jīng)上線,通過本文的解析,TLS 1.3的面紗已被揭開。值得注意的是:只有安裝了SSL證書才能觸發(fā)TLS協(xié)議開通,沒有購(gòu)買SSL證書的企業(yè),請(qǐng)及時(shí)通過天威誠(chéng)信部署SSL證書,使網(wǎng)站防釣魚,防流量劫持,提升訪客信任度,為更安全更可信的互聯(lián)網(wǎng)環(huán)境共同努力!

申請(qǐng)創(chuàng)業(yè)報(bào)道,分享創(chuàng)業(yè)好點(diǎn)子。點(diǎn)擊此處,共同探討創(chuàng)業(yè)新機(jī)遇!

相關(guān)標(biāo)簽
ssl證書

相關(guān)文章

  • 高級(jí)SSL證書直降1000+ 安信證書帶你清涼一夏

    夏日炎炎,烈日高照,這個(gè)季節(jié)最需要的就是清涼!而安信證書夏季大放價(jià)活動(dòng),正是為了讓您以清涼的價(jià)格,使您的網(wǎng)站可以獲得更加專業(yè)的SSL保護(hù),更加輕松地應(yīng)對(duì)網(wǎng)絡(luò)攻擊和數(shù)據(jù)泄露。此次夏季活動(dòng)中,有大家比較熟悉的國(guó)際知名品牌GeoTrust、Sectigo等,還有DV、OV、EV等不同驗(yàn)證類型的SSL證書,

    標(biāo)簽:
    ssl證書
  • 為什么選擇OV SSL證書?OV SSL證書品牌推薦

    OVSSL證書中文全稱為“組織驗(yàn)證型SSL證書”,該證書除需要驗(yàn)證網(wǎng)站域名外,還需對(duì)網(wǎng)站所屬企業(yè)進(jìn)行嚴(yán)格身份認(rèn)證審核。通過審核的企業(yè)單位才能簽發(fā)證書,以此來(lái)保障網(wǎng)站真實(shí)性和合法性。

    標(biāo)簽:
    ssl證書
  • 嗨翻五一 限時(shí)優(yōu)惠 | 通配符SSL證書最高直降3000元

    春未盡,夏初臨,在季節(jié)流轉(zhuǎn)之間,五一小長(zhǎng)假即將如約而至。安信證書(https://www.anxinssl.com/)作為國(guó)內(nèi)領(lǐng)先的https解決方案服務(wù)商,為回饋廣大新老用戶,為您的信息安全保駕護(hù)航,為大家?guī)?lái)了SSL數(shù)字證書專場(chǎng)活動(dòng)。精選爆款通配符SSL證書,助您低成本實(shí)現(xiàn)網(wǎng)站安全合規(guī)!活動(dòng)詳情

    標(biāo)簽:
    ssl證書
  • 為什么需要定期更新SSL證書?

    SSL數(shù)字證書對(duì)網(wǎng)站運(yùn)行的安全性起到極大的保障,現(xiàn)如今大多數(shù)網(wǎng)站都會(huì)安裝部署,可以起到數(shù)據(jù)加密的作用。通常SSL證書的有效期為一年左右,有效期結(jié)束后網(wǎng)站的SSL證書就會(huì)失效。如果想要繼續(xù)保護(hù)網(wǎng)站,只能提前續(xù)費(fèi)或重新申請(qǐng)。那么,為什么需要定期更新SSL證書呢?RAKsmart為大家?guī)?lái)簡(jiǎn)單介紹:1、定

    標(biāo)簽:
    ssl證書
  • 失去SSL證書的保護(hù),將對(duì)網(wǎng)站安全造成哪些影響?

    在經(jīng)濟(jì)全球化、網(wǎng)絡(luò)化的時(shí)代,重要信息傳輸和產(chǎn)品買賣及服務(wù)都需要網(wǎng)絡(luò)的支撐,隨著網(wǎng)絡(luò)信息技術(shù)的深入發(fā)展,網(wǎng)絡(luò)安全逐步成為企業(yè)關(guān)注的焦點(diǎn)。但現(xiàn)實(shí)情況是,全球各地的網(wǎng)絡(luò)犯罪分子依然潛伏在各個(gè)角落,尋找時(shí)機(jī)入侵企業(yè)網(wǎng)站,竊取企業(yè)經(jīng)營(yíng)數(shù)據(jù)和用戶敏感信息。如果您的企業(yè)擁有網(wǎng)站尤其是具有交易功能的網(wǎng)站,則必須使用

    標(biāo)簽:
    ssl證書

熱門排行

信息推薦