Cloutflare:TLS 1.3解读 你想了解的都在这儿

便宜SSL4个月前 (08-04)便宜SSL新闻55

在过去的五年中,互联网工程任务组(IETF),即定义互联网协议的标准机构,一直致力于标准化其最重要的安全协议之一的最新版本:传输层安全性(TLS)。 TLS用于保护Web(以及更多!),提供加密并确保每个HTTPS网站和API的真实性。 最新版本的TLS,TLS 1.3(RFC 8446)于本月10日发布。 这是该协议的第一次重大改革,带来了重大的安全性和性能改进。 本文转载自Cloudflare博客,深入探讨了TLS 1.3中引入的变化及其对互联网安全未来的影响。

一场变革

Cloudflare提供安全性的一个主要方式是支持网站和API等Web服务的HTTPS。使用HTTPS(“S”代表安全),浏览器和服务器之间的通信通过加密和经过身份验证的通道传输。通过HTTPS而不是HTTP提供内容可以让访问者确信他们看到的内容是由合法内容所有者呈现的,并且通信是安全的,不会被窃听。在这个世界里,在线隐私比以往任何时候都更加重要,这是一个大问题。

使HTTPS安全的引擎下的机制是一种称为TLS的协议。它源于九十年代中期在Netscape开发的称为安全套接字层(SSL)的协议。到20世纪90年代末,Netscape将SSL交给IETF,IETF将其重命名为TLS,并从此成为该协议的管理者。许多人仍将Web加密称为SSL,即使绝大多数服务已切换到仅支持TLS。 SSL这个术语继续受到人们的欢迎,而Cloudflare通过无钥匙SSL和通用SSL等产品名称使这个术语保持活力。

在IETF中,协议称为RFC。 TLS 1.0是RFC 2246,TLS 1.1是RFC 4346,TLS 1.2是RFC 5246.今天,TLS 1.3发布为RFC 8446. RFC通常按顺序发布,保留46作为RFC编号的一部分是一个很好的延续。

在过去几年中,TLS已经被发现诸多的问题。 首先,实现TLS的代码存在问题,包括Heartbleed,BERserk,goto fail;等等。 这些问题不是协议的基础,而且主要是由于缺乏测试。 像TLS Attacker和Project Wycheproof这样的工具有助于提高TLS实施的稳健性,但TLS面临的更具挑战性的问题与协议本身有关。

TLS由工程师使用数学家的工具设计。 SSL时代的许多早期设计决策都是使用启发式方法和对如何设计健壮的安全协议的不完全理解。 也就是说,这不是协议设计者(Paul Kocher,Phil Karlton,Alan Freier,Tim Dierks,Christopher Allen等人)的错,因为整个行业仍在学习如何正确地做到这一点。 在设计TLS时,关于安全认证协议设计的正式论文,如Hugo Krawczyk的标志性SIGMA论文,还需要几年的时间。 TLS是90年代的密码:它当时意味着很好,看起来很酷,但是现代密码学家的调色板已经发展得不同了。

许多设计缺陷是使用形式验证发现的。 学者们试图证明TLS的某些安全属性,但却找到了反例,这些反例被转化为真正的漏洞。 这些弱点包括纯理论(SLOTH和CurveSwap),高资源攻击者(WeakDH,LogJam,FREAK,SWEET32),既“实用”又“危险”(POODLE,ROBOT)。


标签: tls

相关文章

等保三级合规要求:全站HTTPS安全升级将成必然

根据网络安全等级保护技术2.0(简称“等保2.0”)的第三级等保标准要求:从云计算、物联网、工控系统、移动互联、大数据安全五个方面着手采用密码技术保证网络通信安全,确保通信过程中数据的完整性、保密性和抗抵赖性。基于现阶段网络环境及等保2.0...

AlphaSSL SSL 证书_便宜SSL证书推荐

AlphaSSL SSL 证书AlphaSSL证书全球著名SSL证书颁发机构 GlobalSign 旗下的信息安全产品,是专业的SSL证书提供商,提供便宜SSL证书。AlphaSSL在SSL证书行业拥有多年服务经验,并以便宜的价格和优质的服...

Chrome 94将上线HTTPS-First选项 替换安全锁图标

为营造更安全的上网环境,Google本周三宣布即将推出 HTTPS-First 选项,允许用户在加载页面的时候优先加载到 HTTPS。在该选项启用之后,当你试图加载一个不支持 HTTPS 的网站时,浏览器将会弹出您访问的网站存在不...

使用私有 CA 降低风险

至少从表面上看,在颁发和管理组织专有的数字证书时,私有CA一词肯定意味着更高级别的控制、访问和便利。但是私人 CA 的好处并不是来自一些空灵、富有想象力的文字游戏练习。私有 CA 已经证明了它们在帮助企业驾驭企业网络安全世界方面的价值。私人...

信息重要性凸显,SSL证书为数据安全筑起高墙

近年来,在国际上数据安全事件频发,尤其是数据泄露事件,根据Risk Based Security于2019年下半年发布的数据,整个2019年上半年发生数据泄露事件3800余起,相对于2018年同期数据增长了54%。数据泄露事件通常还会带来显...

黑客为暗网上被盗的个人数据支付了多少费用?

随着过去几年大流行和全球政治的发展,您可能不知道 2020 年是网络攻击最严重的年份之一。世界上一些最大的公司,如 NASA、T-Mobile,甚至像 SolarWinds 这样的网络安全公司,都是 2020 年一些严重漏洞的受害者。那么,...

OpenSSL 1.1.1发布 正式支持TLS1.3

在经历两年的修补改进后,OpenSSL于近日发布了1.1.1版本并承诺至少投入5年的时间支持该版本。OpenSSL的Matt Caswell在博文中感谢了对OpenSSL近5000次的优化的两百多名志愿者,以及所有下载测试版本并提供反馈的各...

网站安装SSL证书的重要性

目前网站使用最多的是HTTP协议,用于从www服务器传输超文本到本地浏览器的传输协议,它可以使浏览器更加高效,使网络传输减少。但它有一个很大的缺点:传输过程中的所有信息和数据都是明文的,在网络中传输极易被截取或篡改,非常不安全。不过从201...

免费SSL证书,HTTP变HTTPS

或许你拥有自己的域名,或许你还拥有自己的网站,但是你的网站支持SSL认证(加密)么?目前全球网站中大约1/3都已经支持SSL了,稍微主流一点的几乎都支持。据说搜索引擎也会对SSL的页面加分。而且,如果你想要在自己的网站开发微信小程序,那也一...

WebNIC 通过新的 Sectigo Web Security 为其合作伙伴增加价值

东南亚地区著名的域名注册商 Web Commerce Communications Limited (dba WebNIC) 最近刚刚向其网络行业的合作伙伴推出了一项新的网络安全服务 Sectigo Web。最先进的服务是 Sectigo...

PKI 使用是物联网安全的主要驱动力

由于物联网 (IoT) 的影响越来越大,PKI 的使用正在增加。根据Thales e-Security和Ponemon Institute对 1688 名 IT 和安全从业人员的研究,44% 的人表示,物联网是推动采用 PKI 作为核心企业...

黑帽大会受邀合作加强网络防御

JCDC 参与者将共同制定成熟的网络防御计划。黑帽美国——网络安全和基础设施安全局 (CISA) 的新主任邀请黑帽与会者加入公私合作打击网络犯罪。几周前,Jen Easterly 开始担任新的CISA主管。她说,她计划在该机构创始人克里斯·...

Chrome 70正式向所有HTTP网站发出红色“不安全”警告!

10月17日,坐拥10亿用户的Chrome浏览器正式上线70版本。作为第一个采用TLS1.3正式版的Chrome版本,在安全新功能方面,Chrome 70进一步升级了HTTP页面“不安全”显示标识,即当用户输入数据时,HTTP 站点将显示一...

通过 PKI 和设备管理实现物联网的未来

在圣地亚哥举行的DigiCert安全峰会上,DigiCert 首席执行官 John Merrill 和物联网安全副总裁 Mike Nelson在对Infosecurity发表讲话时讨论了公司关于使用 PKI 实现更好的物联网安全的愿景。Me...

Sectigo 入围最佳业务连续性 灾难恢复解决方案类别的 SC 奖决赛

今天是Sectigo的大新闻!我们的 Sectigo Web 安全平台已入围 2021 年 SC Awards最佳业务连续性/灾难恢复解决方案类别的决赛!这是继Sectigo IoT Identity Manager去年获得SC Award...

重要变化:.com域名涨价

Verisign公司将从 2021 年 9 月 1 日起提高 .COM 域名的价格。不幸的是,这意味着 Name Silo 也需要这样做。我们特此与您联系,因为您的帐户中有活动或过期的 .COM 域名。不过您仍有时间将当前域名续订多年,或在...

今天的物联网安全有什么问题?

物联网 (IoT) 的清单正在快速增长,安全问题也在迅速增加。随着越来越多的设备连接到互联网,网络不断扩大,数据量也在增加,从而使更多敏感信息面临风险。目前,大多数物联网设备的安全性都很差。事实上,大多数物联网设备制造商都提供带有默认密码的...