SSL 与 TLS - 有什么区别?
深度揭秘现代“SSL证书”的技术真相。由于老旧的 SSL 3.0 协议已被全面淘汰,目前所有在用的 HTTPS 证书底层均基于 TLS 1.2 或 TLS 1.3 协议运行。本文为您详解这一网络安全技术的更迭历史与行业沿用旧称的根本原因。
SSL 与 TLS 有什么区别?SSL 和 TLS 到底是不是同一个东西?
很多人在部署 HTTPS 时,经常会看到:
- SSL证书
- TLS协议
- TLS1.2
- TLS1.3
- SSL/TLS证书
于是会疑惑:SSL 和 TLS 到底是不是同一个东西?
实际上,现在大家口中的 “SSL证书”,技术上大部分早已不是 SSL,而是 TLS。
因为过时的 SSL 协议(如 SSL 3.0)由于存在严重安全漏洞已被全面淘汰,现在所有在用的证书底层运行的都是 TLS 协议,只是整个行业习惯上仍然保留了“SSL证书”这个古老的经典叫法。
本文将详细介绍:
- SSL 与 TLS 的区别
- 为什么 SSL 已经被淘汰
- TLS1.2 与 TLS1.3 有什么不同
- HTTPS 为什么必须升级 TLS
- 为什么现在仍然叫 SSL证书
SSL 与 TLS 本质上是什么?
SSL(Secure Sockets Layer)与 TLS(Transport Layer Security)本质上都是
网络加密协议!
主要用于:
- 网站 HTTPS 加密
- 数据传输保护
- 身份认证
- 防止数据被窃听
简单理解,它们的作用都是在浏览器与服务器之间建立一条安全的双向加密连接,也就是当用户在地址栏访问 https:// 时,他在幕后默默为数据保驾护航。
SSL 为什么被淘汰了?
SSL 最早由 Netscape 在 1990 年代开发。发展过程大致如下:
| 协议 | 发布时间 | 状态 |
|---|---|---|
| SSL 1.0 | 未正式发布 | 已废弃 |
| SSL 2.0 | 1995 | 不安全 |
| SSL 3.0 | 1996 | 已淘汰 |
| TLS 1.0 | 1999 | 已淘汰 |
| TLS 1.1 | 2006 | 已淘汰 |
| TLS 1.2 | 2008 | 主流使用 |
| TLS 1.3 | 2018 | 最新主流 |
早期 SSL 存在大量安全漏洞,例如:
- POODLE
- DROWN
- BEAST
- FREAK
- Logjam
因此SSL 2.0 与 SSL 3.0 早已被 IETF 正式弃用。如今现代浏览器已经基本不再支持 SSL。
也就是说现在 真正运行 HTTPS 的,其实已经是 TLS。
为什么大家现在还叫“SSL证书”?
虽然 SSL 已经过时,但行业内:
- SSL证书
- SSL安全证书
- SSL加密
这些叫法已经沿用了很多年。
因此即使实际运行的是 TLS,大家仍习惯称之为:SSL证书
包括主流的DigiCert、Sectigo、GeoTrust、GlobalSign等 CA 厂商,也仍然大量使用:SSL Certificate命名。
所以:SSL证书 ≠ SSL协议
现在购买的 SSL证书,实际上主要用于 TLS1.2 / TLS1.3 加密连接。
SSL证书与TLS协议不是同一个东西
这是目前很多用户最容易混淆的地方。
SSL证书是什么?
SSL证书是数字身份认证文件 由 CA(数字证书颁发机构)签发。
作用包括:
- 验证网站身份
- 建立HTTPS信任
- 提供公钥
TLS协议是什么?
TLS 是加密通信规则
它负责:
- 加密数据
- 握手协商
- 密钥交换
- 建立安全连接
因此SSL证书安装与部署 后,真正负责加密通信的是 TLS协议 而不是证书本身。
TLS1.2 与 TLS1.3 有什么区别?
目前主流 HTTPS 主要使用TLS1.2、TLS1.3,
其中:
TLS1.3 是目前最新、最安全的版本。
TLS1.3 的主要优势
相比 TLS1.2,TLS1.3 握手更快、延迟更低、安全性更高、默认支持前向保密而且还删除了弱加密算法,
所以现代浏览器正在逐步优先使用 TLS1.3。
为什么 HTTPS 需要升级 TLS?
很多网站虽然已经部署 HTTPS,但如果服务器仍使用 TLS1.0、SSL3.0,
浏览器依然可能提示:
- 不安全
- 加密协议过旧
- 无法建立安全连接
因此网站如何从HTTP更改为HTTPS,不仅仅只是安装 SSL证书,还需要同步升级:
- TLS协议
- Cipher Suites
- OpenSSL版本
- IIS / Nginx 配置
TLS 握手到底是什么?
当浏览器访问 HTTPS 网站时,会先进行 TLS Handshake(TLS握手)
作用包括:
- 验证SSL证书
- 协商加密算法
- 交换密钥
- 建立安全连接
握手成功后 浏览器才会显示 HTTPS小锁
TLS 为什么比 SSL 更安全?
这是因为TLS 在 SSL 基础上进行了大量改进 (参考表)
| 功能 | SSL | TLS |
|---|---|---|
| 安全性 | 较低 | 更高 |
| 加密算法 | 老旧 | 更现代 |
| 握手效率 | 较慢 | 更快 |
| 前向保密 | 较弱 | 默认支持 |
| 浏览器支持 | 已淘汰 | 主流支持 |
尤其 TLS1.3已经删除了大量不安全Cipher、老旧Hash算法、弱加密套件等因此安全性远高于 SSL。
免费SSL证书支持TLS1.3吗?
支持。
很多用户会问免费SSL证书是什么?安全吗?
实际上现在无论:
- 免费SSL
- DV SSL
- OV SSL
- EV SSL
都可以支持:TLS1.2 / TLS1.3
因为 TLS 是否支持主要取决于服务器配置、OpenSSL版本、Nginx/Apache/IIS等Web服务器的设置以及 CDN 的协议支持,而不是由购买的 SSL 证书价格来决定的。
现在网站应该开启哪些协议?
目前推荐:
| 协议 | 是否推荐 |
|---|---|
| SSL2.0 | 禁用 |
| SSL3.0 | 禁用 |
| TLS1.0 | 禁用 |
| TLS1.1 | 不建议 |
| TLS1.2 | 推荐 |
| TLS1.3 | 强烈推荐 |
企业网站建议在服务器配置中至少开启 TLS 1.2 协议,并优先支持更高效、更安全的 TLS 1.3 协议,才能满足现代安全标准还能提升 HTTPS 的握手连接速度。
TopSSL 总结
SSSL 与 TLS 本质上都是 HTTPS 加密协议。但实际上,SSL 已经基本退出历史舞台。
现在互联网 HTTPS 主要运行的是 TLS 1.2 和 TLS 1.3 协议;
之所以大家仍然习惯称“SSL证书”,只是行业历史命名保留下来的结果
因此,现在部署 HTTPS 时,真正需要关注的并不仅仅是 SSL 证书类型还包括:
- TLS协议版本
- 服务器加密配置
- HTTPS兼容性
- OpenSSL安全性
只有正确完成 SSL证书安装与部署、TLS 安全升级以及 HTTPS 配置优化,才能真正保证网站在各类浏览器中的完美兼容性,并实现全站数据传输的绝对安全。
京公网安备11010502031690号
网站经营企业工商营业执照
