我可以使用什么安全协议来保护 Web 服务 (SSL/TLS)?
What security protocol can i use to secure a web service (SSL/TLS)?
我必须确保 Web 服务的安全,我可以使用的协议是 SSLv2 或 SSLv3 或 TLSv1.2 或 SSLv3 结合 TLSv1.2。我知道就 SSL 而言,SSLv3 是最安全的协议,就 TLS 而言,TLSv1.2 也是最安全的。但问题是我必须使用上述哪些协议来保护我的 Web 服务?如果有答案,我也想知道原因。
谢谢
您的说法不正确,TLS 1.2+ 比 SSLv3 更安全。由于 Poodle Attack 等最近的漏洞,SSLv3 并不安全。您绝对应该使用 TLS 1.2+ 来保护您的应用程序。有一本好书 here。
SSLv2 早已不复存在,大多数客户不再支持它,因为它不安全。几年前,由于 POODLE 攻击,SSLv3 也发生了同样的事情,但您仍然发现有相当多的系统支持 SSLv3。 TLS 1.0 和 1.1 存在设计问题,因此建议不再使用它们,但大多数安装仍然支持它们。如果您可以自由选择客户端和服务器,您绝对应该使用目前最新且被认为安全的 TLS 1.2。一旦 TLS 1.3 最终被指定,它可能会在未来几年(甚至今年)被替换为最新版本,但 TLS 堆栈支持它需要一些时间。
请注意,安全性不仅取决于协议版本,还取决于密码的正确选择、正确的证书,当然还有证书的正确验证。
除此之外,SSL 和 TLS 之间没有真正的区别:TLS 1.0 实际上是 SSL 3.1。实际上SSL 2.0和SSL 3.0之间的区别比SSL 3.0和TLS 1.0之间的区别要大得多。
TLS 是 SSL 加密协议的升级版本,它使互联网上的通信更加安全。由于 POODLE 和其他 SSL 漏洞,SSLv3 已被弃用。
因此,我建议您可以使用 TLS 1.2 协议,因为它是在 2008 年 8 月定义并在今天使用的。与 SSL 证书兼容的 TLSv1.2 协议可为您在 Internet 上的 Web 服务提供增强的通信安全性。 Get more details
我必须确保 Web 服务的安全,我可以使用的协议是 SSLv2 或 SSLv3 或 TLSv1.2 或 SSLv3 结合 TLSv1.2。我知道就 SSL 而言,SSLv3 是最安全的协议,就 TLS 而言,TLSv1.2 也是最安全的。但问题是我必须使用上述哪些协议来保护我的 Web 服务?如果有答案,我也想知道原因。 谢谢
您的说法不正确,TLS 1.2+ 比 SSLv3 更安全。由于 Poodle Attack 等最近的漏洞,SSLv3 并不安全。您绝对应该使用 TLS 1.2+ 来保护您的应用程序。有一本好书 here。
SSLv2 早已不复存在,大多数客户不再支持它,因为它不安全。几年前,由于 POODLE 攻击,SSLv3 也发生了同样的事情,但您仍然发现有相当多的系统支持 SSLv3。 TLS 1.0 和 1.1 存在设计问题,因此建议不再使用它们,但大多数安装仍然支持它们。如果您可以自由选择客户端和服务器,您绝对应该使用目前最新且被认为安全的 TLS 1.2。一旦 TLS 1.3 最终被指定,它可能会在未来几年(甚至今年)被替换为最新版本,但 TLS 堆栈支持它需要一些时间。
请注意,安全性不仅取决于协议版本,还取决于密码的正确选择、正确的证书,当然还有证书的正确验证。
除此之外,SSL 和 TLS 之间没有真正的区别:TLS 1.0 实际上是 SSL 3.1。实际上SSL 2.0和SSL 3.0之间的区别比SSL 3.0和TLS 1.0之间的区别要大得多。
TLS 是 SSL 加密协议的升级版本,它使互联网上的通信更加安全。由于 POODLE 和其他 SSL 漏洞,SSLv3 已被弃用。
因此,我建议您可以使用 TLS 1.2 协议,因为它是在 2008 年 8 月定义并在今天使用的。与 SSL 证书兼容的 TLSv1.2 协议可为您在 Internet 上的 Web 服务提供增强的通信安全性。 Get more details