什么是TLS1.2?——为什么我们仍然要关心它?
发布日期:2021-08-04互联网是有史以来最具规模的通信和数据传输技术。但随之而来也面临着一些挑战,随着我们提高计算机和其他数字设备之间共享大量信息的能力,数据信息未经授权落入他人手中的风险显著增加。
为了防止网络犯罪分子通过互联网访问敏感数据,人们引入了各种加密协议,其中最著名的是安全套接字层协议(SSL)和安全传输层协议(TLS)。
SSL其实已被废弃,取而代之的是TLS及它的后续版本。在2020年底停用了TLS1.0和1.1,希望确保数据安全的组织和Web主机需要在所有部署中支持TLS1.2。
但什么是TLS1.2?它是怎样工作的?为了回答这个问题,首先我们简短快速看一下加密协议的历史。
1.SSL 1.0、 2.0, and 3.0
早在1995年,当时互联网仍然处于发展阶段,Netscape创建了一种加密协议,允许数据安全传输而不会有被拦截的风险。SSL1.0因为有缺陷,所以从未正式发布——不久就出现了SSL2.0,然后被大幅改进的SSL3.0所取代。
这个最终的SSL版本成为了近20年来互联网加密的标准。不幸的是,随着技术的不断进步,各种在线威胁行为者的能力也在不断提高。2014年底,谷歌安全团队在SSL3.0中发现了一个显著的安全漏洞,因此需要一种新的通信加密方法,解决方法就是TLS。
2.TLS
TLS最初设想是另一个升级的SSL协议,后来TLS发展独特以至于拥有自己的称号。
虽然TLS1.0与SSL不同使得实现互操作性有点困难,但它采用了一种机制,允许它在需要时回退到SSL3.0上,但降低了安全效率。
TLS1.0之后是TLS1.1,改进了其安全性并解决了以前版本中几个新发现的漏洞。TLS1.1是多年来有效的加密协议。但与之前所有的协议一样,它最终会过时,无法支持现代密码算法。
TLS1.2解决了这些问题,同时还加强了对新发现的安全漏洞的保护。
3.TLS1.2是什么?
TLS1.2只是TLS1.1的一种升级形式。它于2008年发布,提供更高的安全性,并为提高性能和增强可靠性而设计。为了实现这一点,它依赖于对称和不对称加密算法的组合。
更具体地说,TLS1.2用单个哈希散列替换了数字签名元素中的MD5/SHA-1组合,确保提高握手过程中协商的安全性。
同时,它还提供了对客户端和服务器为散列和签名指定算法的能力的改进。TLS1.2还支持增强的身份验证加密,并添加TLS扩展和AES密码套件。
TLS1.2是比之前有明显改进。但是,任何从事技术工作的人都知道,你无法阻止技术的进步。
2018年,互联网工程任务组(IETF)最终确定并发布了TLS1.3,使其成为最先进、最安全的加密协议。TLS1.3通过提高TLS握手速度、缩短加载时间以及删除过时和不安全的TLS1.2密码套件,提高了Web的性能和安全性。
简单地说,TLS1.3旨在防止每个已知的TLS1.2漏洞,并简化配置过程。因此,由于TLS1.3目前显然是在线数据加密的最佳选择,那为什么仍然要关心TLS1.2呢?
4.TLS1.2截止日期
到2020年底,TLS1.0和1.1版本不再支持。这意味着不支持TLS1.2或更高版本的网站现在无法创建安全连接。
试图使用主流Web浏览器访问这些站点将返回一条“安全连接失败”的错误信息。同样,需要接受信用卡支付并保持PCI兼容的电子商务网站必须支持TLS1.2或更高版本。
目前绝大多数网站支持TLS1.2,不会受到TLS1.0和1.1弃用的影响。也就是说,可能仍有少数网站尚未升级。通过推迟对TLS1.2的升级,这些网站会使它们自己和客户面临重大风险。
5.未升级到TLS1.2的危险
TLS1.2并不仅仅是传输层安全的下一步,它是解决严重安全威胁的实际解决方案。
近年来,TLS1.0和1.1都很容易受到各种高级加密威胁的攻击,包括BEAST和POODLE。这两种威胁都允许攻击者利用TLS的安全漏洞来恢复潜在的敏感数据。
这些绝不是过时的TLS协议所面临的唯一威胁。拒绝升级的组织使自己和用户面临数据盗窃的风险。
除了数据不安全的危险之外,不符合TLS1.2的还将遭受重大的流量损失。当访问者试图使用标准浏览器来访问这些网站时,他们将遇到上述错误消息,使他们无法访问获取所需的内容。
这意味着这些网站将无法与潜在的客户互动,或对组织的信誉产生负面影响。那些看到“安全连接失败”提示的人不太可能信任该特定站点。过时的TLS版本也可能会导致在谷歌搜索引擎结果页面中处于较低的排名。
最后,没有TLS1.2支持的电子商务网站可能面临高达10万美元违规罚款的风险,并且可能无法处理罚款。
6.如何升级到TLS1.2?
不幸的是,没有一个过程或流程来确保TLS1.2的兼容性;根据目前使用的平台和软件解决方案,这个过程可能非常简单或也可能非常复杂。
因为首先要确定哪些系统可能要升级,哪些系统可能不需要升级。查看本地软件、遗留系统、在线存储和支付网关可能会发现TLS漏洞。
可能需要升级到TLS1.2的平台和连接包括互联网信息服务、Web服务器、电子商务应用程序和 .Net Framework。庆幸的是,对第三方电子商务的支持可能已经升级了。
与IT和安全团队密切合作至关重要,制定一个详细的升级计划也非常重要。升级支持TLS1.2是必要的,特别是在TLS1.0和1.1已弃用的情况。但为了获得最好的保护,应该升级到TLS1.3,并定期修补和升级TLS软件,以抵御新的威胁。
随着互联网信息技术的发展,所面临的威胁也在不断发展。升级到TLS1.2是一个有效的解决方案,帮助确保组织和客户最优数据的安全。
来源网站: https://securitybrief.com.au 沃通WoTrus原创翻译整理,转载请注明来源