TLS和SSL之间的差异会让您大吃一惊!

2014/11/06

当您使用SSL(安全套接字层)保护您的网站或其他类型的通信,您可能会发现它有参考其他通信协议TLS, 传输层安全性。
您知道SSL提供客户端和服务器之间安全和加密的通信,那TLS又是提供什么呢?
说实话,TLS是SSL的一个新的名称。TLS在1999年被推出为升级版的SSL3.0,并几乎已经完全取代它了。
然而,在安全行业的人非常喜欢SSL, 所以很多公司仍然使用SSL这个名称。科摩多没有将SSL证书的名称改成TLS证书。在服务器中使用SSL的软件如OpenSSL也没有将它们的名称改为OpenTLS.
那么,这是否意味着SSL已经不存在了?
不是完全的。但是最近发生的事件却证明了它确实应该如此。
TLS不能与SSL3.0一同操作,所以客户和服务器必须要同意使用哪个协议。当客户建立服务器的连接时,一个被称为“Handshake”的过程会出现,就是客户和服务器必须同意使用协议。在某些情况下,他们会回落到较旧款的协议,如SSL3。0。
这不常见,但确实发生了。不幸的是,SSL3.0出现黑客可以利用的漏洞,让他们有激励的将服务器降级到SSL3.0.
在本月初,谷歌研究人员披露了POODLE漏洞,这漏洞使用”中间人“攻击,可允许黑客将连接到使用SSL3.0协议的网站的连接解密。黑客在客户和服务器通信之间插入过程。基本上,黑客可以利用专用通信器监听。黑客也可以将客户重定向到一个黑客控制的网站,将客户端感染和/或进行金融欺诈。

“咖啡馆”攻击就是“中间人”攻击(MITM)的一种。在这种情况下,在咖啡馆的黑客会设置一台笔记本播放看起来与咖啡馆的无线网一样的无线网信号。受害者将会无意中连接到攻击者的无线网络而不是咖啡馆的无线网。受害者的互联网流量就在这个时候提供给攻击着截取和记录。如果是加密的连接,这种攻击通常会被停止。然而,随着POODLE漏洞的出现,在理论上使用SSL3.0加密的会话将有可能被解密。

幸运的是,有简单的方法来解决这个问题。可以在服务器或浏览器中禁用SSL3.0。如果在尝试连接时被禁用,是没有办法回退到SSL的。
您可以检查网站是否有启用SSL3.0,将网址输入到https://sslanalyzer.comodoca.com. 使用SSL3.0的网站会被报告为“容易受到POODLE攻击”
您也可以查看您的浏览器是否使用SSL: https://www.poodletest.com/

Write a comment

Name
Comment