TLS 与 SSL:应该使用哪种协议?
如果您是网站所有者,您可能想知道如何使您的网站尽可能安全。保护您的网站并将其转换为 HTTPS应该是当务之急。您可能已经听说过两个对实现目标至关重要的术语:TLS 与 SSL。他们的意思是什么?这个比那个好吗?您应该使用哪个来拥有最安全的网站?
什么是 SSL 和 TLS?
安全套接字层 (SSL) 和传输层安全性 (TLS)都是有助于保护数据并使您的网站对最终用户更安全的安全协议。这两种协议都会导致站点和用户设备之间的端到端加密。这与用户和搜索引擎建立了信任。无论您使用 TLS 还是 SSL 来保护您的网站,您都在保护您自己的数据以及(也许更重要的是)您的用户的数据免受潜在的黑客攻击或恶意活动。
网站所有者获得 TLS 和 SSL 证书,以便将网站从 HTTP(超文本传输协议)转换为 HTTPS(安全超文本传输协议)。当网站是安全的时,它会在用户的浏览器地址栏中显示一个安全锁图标。拥有网站的安全证书会告诉浏览器用户可以安全地访问,让用户放心,他们的信息是安全的。
每个网站都需要 TLS 或 SSL 证书。它有助于搜索排名以及防止黑客和其他妥协情况。但如果您使用您的网站来处理支付信息或存储敏感记录,这一点尤其重要。这只是您获得完整、锁定站点安全性的拼图中的一部分,但它是关键的一部分。
TLS 与 SSL 有什么区别?
就结果而言,TLS 和 SSL 提供相同的东西:为您的网站加密安全。您可能会听到在提及证书时可以互换使用的术语。尽管从技术上讲,TLS 和 SSL 并不相同。两种协议都使用称为握手的过程来启动加密连接。基本上两台机器要求看对方的ID,结账的时候就可以做生意了。
这就是技术相似性结束的地方。每个加密协议以不同的方式运行以达到相同的最终结果。
简而言之,TLS 1.3 与 SSL(以及较旧的 TLS 标准)的当前标准包括减少延迟以促进更快的加载时间,这对于现在的每个站点来说都是必不可少的,消除遗留代码膨胀以减少有人可能会使用的向量数量攻击您的网站,并在点之间使用一次握手而不是多次握手,这再次降低了有人可能危及您的安全的向量。
SSL 于 1995 年首次发布,是 TLS 的前身。此后发现 SSL 的所有三个迭代都缺乏安全漏洞。事实上,第一个版本从未公开发布过。后来,互联网工程任务组 (IETF)弃用了所有版本的 SSL。
即便如此,SSL 一词仍被广泛用于描述网站用户需要获取的安全证书。但在大多数情况下,在幕后执行的实际协议是 TLS。今天,TLS 的 1.2 和 1.3 版本是 IETF 或主要浏览器尚未弃用的任一协议(TLS 与 SSL)的唯一版本。如果您想了解更多有关 TLS 1.3 的技术复杂性及其工作原理的信息,Cloudflare 有一篇出色的文章阐述了规范。
您的网站应该有 TLS 还是 SSL?
多年来,SSL 几乎完全被 TLS 取代。尽管您仍然会看到“SSL 证书”比 TLS 证书更频繁地被提及,但使用的底层协议很可能是 TLS。不管它叫什么。
您的网站应该使用 TLS,因为它现在是 IETF 批准的网站安全标准协议。您的网络主机可能会通过托管提供 SSL 证书(或者您可能自己在其他地方获得一个),它可能仍会通过该 TLS 协议运行,无论是否被称为 SSL。
由于各种安全问题,需要在您网站的服务器端禁用SSL 和旧版本的 TLS。如果您不习惯自己在服务器上工作,您可能需要请您的网站主机或开发人员来帮助您。毕竟,这就是您为他们付出的代价!确保已弃用的 SSL 和 TLS 版本阻止启用旧协议,从而进一步保护您的网站免受安全威胁和入侵。
两者怎么样?
由于相似之处、历史和有些令人费解的命名约定,您可能想知道网站所有者是否需要 SSL和TLS 证书才能正确保护他们的网站。不!如今,SSL 和 TLS 证书做同样的事情。证书本身并不为您的网站提供安全保障。相反,它只是在后台启用 TLS 协议来完成其工作。这进一步解释了为什么命名约定是混乱的——以使事情与人们习惯听到的内容更加一致。
结论
当您发现对 TLS 与 SSL 的引用并且其中一个不同时,它们既是对的又是错的。技术规格不同,但如今名称可以互换。本质上,它们指的是提供相同最终结果的标准。TLS 协议已取代 SSL,因为它更快、更安全。但是,TLS 和 SSL 的名称在安全证书方面仍然可以互换。