TLS i SSL to ściśle powiązane technologie.
Po pierwsze, e-mail i oportunistyczny TLS. ESMTP ma opcję wykonania rzeczywistej części transmisji danych konwersacji za pomocą zaszyfrowanego łącza. Jest to część protokołu i przez większość swojego czasu była nazywana TLS. Działa mniej więcej tak:
-> EHLO foreignmailer.example.com
<- 250 Howdy, stranger
<- [list of capabilities, of which TLS is listed]
-> [Indicates it wants to start a TLS session]
<- [accepts negotioation]
-> [Mail actions, of which LOGIN might be one]
Po uruchomieniu sesji TLS mogą być dostępne nowe metody logowania. To jest przykład protokołu, który zawiera bezpośrednio Transaction Layer Security. Użyte certyfikaty są tego samego rodzaju, co certyfikaty SSL używane przez HTTP.
Na przykład usługi, która nie obejmuje bezpośrednio TLS, wybierz POP3-over-SSL. W takim przypadku bezpieczna sesja jest negocjowana przed wynegocjowaniem faktycznego protokołu. Zasadniczo protokół POP3 jest zamykany w bezpiecznej sesji.
Ogólnie rzecz biorąc, jeśli usługa obsługuje protokół SSL, można go rozszerzyć o obsługę TLS. To, czy zostało to zrobione, zależy od opiekunów serwisu. Oznacza to, że TLS może zastąpić SSL w „SSL VPN”.
SSL VPN różnią się od swoich kuzynów opartych na IPSec tym, że bezpieczna sesja odbywa się na innym poziomie. SSL VPN działają tak samo jak POP3-over-SSL, ponieważ ruch jest hermetyzowany przez istniejące połączenie TCP. Sieci VPN z protokołem IPSec tworzą bezpieczny tunel na poziomie IP , w którym SSL VPN tworzą bezpieczny tunel na poziomie TCP . Powodem, dla którego SSL VPN przejmuje kontrolę, jest to, że łatwiej je skonfigurować i są bardziej odporne na złe warunki sieciowe. Sieci VPN SSL mogą używać protokołu TLS do zabezpieczania sesji, choć zależy to od samego producenta VPN.
Co do dokładnych różnic na poziomie protokołu między SSL a TLS, do których nie mogę się dostać. Standard TLS został opracowany później niż protokół SSL i dlatego zawiera niektóre wnioski wyciągnięte z pierwszych wersji protokołu SSL. SSLv3 został ratyfikowany w 1996 r., A TLS1.0 w 1999 r., A dalszy rozwój protokołu wydaje się ograniczony do pakietu TLS. Upłynęło dużo czasu, zanim SSLv1 i v2 zniknęły. TLS jest wyraźnym następcą pakietu SSL.
TLS jest zasadniczo aktualizacją do SSL. Zmiany w nim nie są dramatyczne, ale na tyle znaczące, aby złamać zgodność z SSL3.0.
Artykuł w Wikipedii obejmuje go szeroko, ale w zrozumiałych kategoriach. (Nie mam na myśli RTFM, ale nie chcę tam wszystkiego powtarzać).
Są one używane w podobny sposób i nadal są nazywane SSL. Zasadniczo wybierasz schemat szyfrowania jako jeden lub drugi.
źródło
opensslwydaje się nie zgadzać. (Wiele programów mówi „TLS”, gdy oznacza „STARTTLS”.)SSL, jak już zauważyli ludzie, to protokół zaprojektowany przez Netscape w przeszłości. W pewnym momencie organ normalizacyjny IETF postanowił przyjąć protokół SSLv3 jako standardowy, więc zmienił się bardzo subtelnie i otrzymał nazwę TLSv1.0.
Tak więc dla większości ludzi protokół TLSv1.0 jest prawie równoważny SSLv3. Powód, dla którego ludzie nazywają rodzinę protokołów SSL, wynika z powodów historycznych - wszyscy są przyzwyczajeni do tej nazwy, więc nadal z niej korzystają. Jest całkiem możliwe, że VPN korzysta z TLS pod przykryciem, ale nazwa marketingowa nadal pozostaje jako SSL VPN.
Od czasu TLSv1.0 wprowadzono dwie wersje tego standardu, a teraz jest on w wersji TLSv1.2, która, mimo że jest nadal kompatybilna, zawiera kilka istotnych zmian. Ze względu na projekt SSL / TLS zarówno klient, jak i serwer mogą negocjować, której wersji protokołu chcą używać, więc klienci korzystający z TLSv1.0 mogą nadal rozmawiać z serwerami implementującymi TLSv1.2 i odwrotnie.
Biorąc pod uwagę interoperacyjność wszystkich wersji protokołu, nie ma „dokonywania zmiany”, ponieważ są one tą samą rodziną. Jest to pytanie „czy muszę używać nowszej wersji?”. Podobnie jak w przypadku każdego innego obszaru, odpowiedź na to pytanie zależy od tego, czy bieżąca wersja, której używasz, ma jakieś ograniczenia, czy nie. Obecnie nie ma problemów z używaniem SSLv3, ale większość klientów i serwerów działa z TLSv1.0.
Mam nadzieję, że to trochę wyjaśnia obraz. Jeśli nie, daj mi znać, co jest nadal mylące, postaram się wyjaśnić dalej.
źródło
TLS jest bezpieczeństwem T ransport L ayer S i ogólnie odnosi się do polecenia STARTTLS na serwerach poczty SMTP. Może, ale nie musi, używać SSL (na przykład SEA versamal), ale ogólnie SSL jest głównym używanym systemem bezpieczeństwa. TLS został również wykorzystany do innych celów (takich jak HTTP), a najnowsza specyfikacja RFC jest w wersji 1.2
Zwykle, ale w żaden sposób, biorąc pod uwagę TLS, masz na myśli serwery pocztowe, więc w szczególności serwery pocztowe, które mają certyfikat SSL, mogą używać TLS do przesyłania poczty i odbierania poczty.
Pachnie to marketingowymi głowami mięsnymi w pokoju. „Opportunistic TLS” oznacza po prostu, że jeśli starttls nie zwróci 220 (Ready to start TLS), to i tak wyślij wiadomość e-mail. Zauważ, że TLS jest opcją WYSŁAJĄCĄ, a nie odbierającą. W przypadku niektórych serwerów pocztowych może być możliwe odrzucenie poczty innej niż TLS, ale byłby to wyjątek, a nie reguła.
TLS obsługuje również wzajemne uwierzytelnianie, a nie tylko szyfrowanie połączenia.
Wysłanie wiadomości e-mail przez VPN (czy to SSL, czy inny schemat bezpieczeństwa) po prostu sprawia, że zabezpieczenia serwerów pocztowych są w zasadzie nieistotne, możesz używać TLS przez VPN (i możesz nawet używać TLS jako schematu bezpieczeństwa VPN), ale niekoniecznie wpływa to na to, jak poczta jest transportowana, jeśli tylko połączenie VPn jest szyfrowane między serwerami pocztowymi (więc z serwera źródłowego i docelowego mogą być przesyłane standardowy tekst jawny)
źródło