TLS 란 무엇이며 SSL과 어떻게 비교됩니까?


13

TLS는 SSL의 "새로운"버전입니까? 어떤 기능이 추가되거나 보안 문제가 해결됩니까?

SSL을 지원하는 어떤 것도 TLS를 지원할 수 있습니까? 스위치를 만드는 데 무엇이 관련됩니까? 스위치는 그만한 가치가 있습니까?

이메일이 "기회 적 TLS"및 VPN의 SSL SSL이라고하는 이유는 무엇입니까? "TLS VPN"제품 라인을위한 공간을 만들면서 기술에 차이가 있습니까?

답변:


11

TLS와 SSL은 밀접한 관련 기술입니다.

먼저 이메일과 기회 주의적 TLS입니다. ESMTP에는 암호화 된 링크를 통해 대화의 실제 데이터 전송 부분을 수행 할 수있는 옵션이 있습니다. 이것은 프로토콜의 일부이며 대부분의 경우 TLS라고합니다. 대략 다음과 같이 작동합니다.

-> EHLO foreignmailer.example.com
<- 250 Howdy, stranger
<- [list of capabilities, of which TLS is listed]
-> [Indicates it wants to start a TLS session]
<- [accepts negotioation]
-> [Mail actions, of which LOGIN might be one]

TLS 세션이 시작되면 새로운 로그인 방법을 사용할 수 있습니다. 이것은 트랜잭션 계층 보안을 직접 포함하는 프로토콜의 예입니다. 사용 된 인증서는 SSL over HTTP에 사용 된 것과 같은 종류의 인증서입니다.

TLS를 직접 포함하지 않는 서비스의 예는 POP3-over-SSL을 사용하십시오. 이 경우 실제 프로토콜이 협상 되기 전에 보안 세션 이 협상됩니다. 본질적으로 POP3는 보안 세션 내에 캡슐화됩니다.

일반적으로 서비스가 SSL을 지원하는 경우 TLS를 지원하도록 확장 할 수 있습니다. 수행 여부는 서비스 관리자에게 달려 있습니다. 이것은 TLS가 "SSL VPN"에서 SSL을 대체 할 수 있음을 의미합니다.

SSL VPN은 보안 세션이 다른 수준에서 수행된다는 점에서 IPSec 기반 사촌과 다릅니다. SSL VPN은 트래픽이 기존 TCP 연결을 통해 캡슐화된다는 점에서 POP3-over-SSL과 같은 방식으로 작동합니다. IPSec VPN은 IP 수준 보안 터널을 만들고 SSL VPN은 TCP 수준 보안 터널을 만듭니다. SSL VPN이 인수하는 것처럼 보이는 이유는 설정이 쉽고 네트워크 상태가 좋지 않기 때문입니다. SSL VPN은 세션 자체를 보호하기 위해 TLS 프로토콜을 사용할 수 있고 사용하지만 VPN 자체의 제조업체에 따라 다릅니다.

SSL과 TLS의 정확한 프로토콜 수준 차이에 대해서는 이해할 수 없습니다. 표준으로서의 TLS는 SSL보다 늦게 도착했기 때문에 초기 SSL 버전에서 배운 몇 가지 교훈을 포함합니다. SSLv3은 1996 년에 승인되었고 1999 년에는 TLS1.0으로 비준되었으며, 추가 프로토콜 개발은 TLS 제품군으로 제한되는 것으로 보입니다. SSLv1 및 v2가 사라지는 데 오랜 시간이 걸렸습니다. TLS는 SSL 제품군의 후속 제품입니다.


SSLv3은 언제 사라지고 TLS로 대체되어야합니까? 오늘 또는 가까운 미래에 이것이 관련이있는 상황이 있습니까?
goodguys_activate

@ MakerOfThings7 브라우저 지원 측면에서 활발한 브라우징 사용자의 90 %가 SSLv3로 다시 돌아 가지 않고 TLS를 지원하면 사라집니다. 아마 앞으로 5-7 년 안에 일어날 것입니다. SSLv3에서 취약성을 악용하기 쉬운 것이 발견되면 더 빠른 롤아웃이 필요한 경우 변경 될 수 있습니다.
sysadmin1138

2
BEAST 공격 luxsci.com/blog/… 에서 SSL v 3 및 TLSv1이 중단되었으며 POODLE ( arstechnica.com/security/2014/10/… )을 통해 SSL v3가 다시 중단되었으므로 TLS 1.2를 더 많이 사용할 수 있기를 바랍니다. 자주
Jim B

TLS 1.2의 사양은 tools.ietf.org/html/rfc5246 , 1.3 (현재는 draft)입니다. ietf.org/id/draft-ietf-tls-tls13-02.txt
Jim B

5

TLS는 기본적으로 SSL 로의 업그레이드입니다. 변경 사항은 극적이지는 않지만 SSL3.0과의 호환성을 깨뜨리기에 충분합니다.

위키 백과 문서는 광범위하지만 합리적으로 이해할 수있는 용어에 대해 설명합니다. (RTFM을 의미하는 것은 아니지만 모든 것을 반복하고 싶지는 않습니다.)

비슷한 방식으로 사용되며 여전히 SSL이라고합니다. 기본적으로 암호화 체계를 하나 또는 다른 것으로 선택합니다.


5
+1, 가장 큰 차이점은 SSL이 암시 적 암호화라는 것입니다. 즉, 연결은 암호화 핸드 셰이크로 시작되며 성공할 때까지 아무것도하지 않습니다. TLS는 명시 적이며 연결이 시작되고 클라이언트가 통신 암호화를 시작하도록 요청합니다.
Chris S

1
@Chris : 확실합니까? openssl동의하지 않는 것 같습니다. (많은 프로그램은 "STARTTLS"를 의미 할 때 "TLS"라고 말합니다.)
user1686

@Grawity, TLS의 폴백 모드와 SSL을 혼동하고 있다고 생각합니다. 많은 앱이 SSL 협상을 인식하고 즉시 악수를 시작하는 TLS 래퍼를 사용합니다. 앱이 순수 TLS를 실행하는 경우 (폴백 없음) 암호화 핸드 셰이크가 시작되기 전에 STARTTLS (또는 대부분의 프로토콜이 사용하지만 프로토콜에 따라 달라짐)를 발행해야합니다.
Chris S

이러한 모든 의견은 다른 프로토콜에서 사용중인 SSL / TLS에 적용됩니다. SSLv3 및 TLSv1.0은 프로토콜 전문가에게만 알려진 차이점과 거의 동일합니다.
Nasko

또한 TLS는 SSL과 호환되지 않으므로 소스를 확인하십시오.
Nasko

3

사람들이 지적한 SSL은 과거 Netscape가 설계 한 프로토콜입니다. 어느 시점에서 IETF 표준 기관은 SSLv3 프로토콜을 표준 프로토콜로 채택하기로 결정했기 때문에 매우 미묘하게 변경되었으며 TLSv1.0으로 명명되었습니다.

따라서 대부분의 사람들에게 TLSv1.0은 SSLv3과 거의 같습니다. 사람들이 여전히 SSL을 프로토콜 계열이라고 부르는 이유는 역사적인 이유 때문입니다. 모든 사람이 이름에 익숙해 져 있으므로 계속 사용합니다. VPN이 표지 아래에서 TLS를 사용하는 것은 가능하지만 마케팅 이름은 여전히 ​​SSL VPN으로 유지됩니다.

TLSv1.0 이후 표준의 두 가지 개정 본이 있으며 현재 TLSv1.2에 있으며, 여전히 호환되지만 몇 가지 중요한 변경 사항이 있습니다. SSL / TLS 설계로 인해 클라이언트와 서버 모두 사용할 프로토콜 버전을 협상 할 수 있으므로 TLSv1.0을 사용하는 클라이언트는 여전히 TLSv1.2를 구현하는 서버와 대화 할 수 있으며 그 반대도 마찬가지입니다.

모든 버전의 프로토콜 간 상호 운용성을 고려하면 동일한 제품군이기 때문에 "전환"이 없습니다. "새로운 버전을 사용해야합니까?"라는 질문입니다. 다른 영역과 마찬가지로이 질문에 대한 답변은 현재 사용중인 버전에 제한이 있는지 여부에 따라 다릅니다. 현재 SSLv3 사용에는 문제가 없지만 대부분의 클라이언트 및 서버는 TLSv1.0에서 작동합니다.

나는 이것이 그림을 약간 명확히하기를 바랍니다. 그렇지 않은 경우 여전히 혼란스러운 점을 알려 주시면 더 자세히 설명하려고합니다.


0

TLS는 SSL의 "새로운"버전입니까? 어떤 기능이 추가되거나 보안 문제가 해결됩니까?

TLS는 T의 ransport의 L 아이어 S의 보 안 일반적 SMTP 메일 서버에서 STARTTLS 커맨드를 의미한다. SSL을 사용하거나 사용하지 않을 수 있지만 (예를 들어 SEE 팜 버사 말) 일반적으로 SSL이 사용되는 기본 보안 시스템입니다. TLS는 HTTP와 같은 다른 목적으로도 사용되었으며 최신 RFC 사양은 1.2입니다.

SSL을 지원하는 어떤 것도 TLS를 지원할 수 있습니까? 스위치를 만드는 데 무엇이 관련됩니까? 스위치는 그만한 가치가 있습니까?

일반적으로 TLS를 고려할 때 메일 서버를 참조하므로 SSL 인증서가있는 메일 서버는 TLS를 사용하여 메일을 전송하고 메일을받을 수 있습니다.

이메일이 "기회 적 TLS"및 VPN의 SSL SSL이라고하는 이유는 무엇입니까? "TLS VPN"제품 라인을위한 공간을 만들면서 기술에 차이가 있습니까?

이것은 방에 들어간 마케팅 미트 헤드처럼 냄새가납니다. "기회 TLS"는 단순히 starttls가 220을 리턴하지 않으면 (TLS를 시작할 준비가 되었음) 계속해서 이메일을 발송 함을 의미합니다. TLS는 수신자 옵션이 아닌 SENDER 옵션입니다. 일부 메일 서버에서는 비 TLS 메일을 거부 할 수 있지만 이는 예외가 아닙니다.

TLS는 또한 단순히 연결의 암호화가 아니라 상호 인증을 지원합니다.

VPN을 통해 전자 메일을 보내면 (SSL 또는 다른 보안 체계에 관계없이) 메일 서버 보안이 본질적으로 무관하며 VPN을 통해 TLS를 사용할 수 있으며 VPN 보안 체계로 TLS를 사용할 수도 있습니다. VPn 연결 만 메일 서버간에 암호화 된 경우 메일이 전송됩니다 (소스 및 대상 메일 서버에서 표준 일반 텍스트를 전송 중일 수 있음)


나는달라고 간청한다. TLS는 일반적으로 SMTP의 STARTTLS 명령을 참조하지 않습니다. 읽은 모든 문서는 TLS를 TLS 프로토콜이라고하며 SMTP에서 트래픽을 보호하는 데 사용합니다. 이제 "기회 TLS"와 관련하여 TLS를 사용할 수있는 "기회"가있는 상위 레벨 프로토콜이 포함될 수 있습니다.
Nasko

그러나 10 명의 관리자에게 9 개의 TLS가 어떤 이메일로 사용되는지 물으면 동의하지 않을 수 있습니다. 질문조차도 TLS에 관한 이메일을 가정합니다. 또한 TLS가 다른 용도로 사용된다고 언급합니다. RFC 2434는 serverhello 메시지에서 협상 할 수있는 암호를 정의합니다. 기회 TLS와는 아무런 관련이 없습니다. SMTP는 암호화를 정의하지 않습니다. RFC 3207은 starttls를 서버 확장으로 정의합니다.
Jim B

"TLS"는 "STARTTLS"만을 잘못 참조합니다. STARTTLS는 접근 방식을 일반화하기위한 키워드 일 뿐이지 만 초기 프로토콜에 통합해야합니다. STARTTLS 명령은 SMTP 및 IMAP에서 비슷해 보이지만 LDAP의 구문에 통합되어야합니다. S-HTTP (HTTPS 아님)의 동일한 메커니즘은 해당 키워드를 사용하지 않습니다. 메일 클라이언트가 "SSL"과 "TLS"중 하나를 선택하여 초기 이름과 기회 적 SSL / TLS 중 하나를 사용하여 이름을 올바르게 사용한다는 의미는 아닙니다. 일부 SMTPS 서버는 TLSv1을 매우 잘 지원한다고 확신합니다. STARTTLS를 사용한 후 일부 SSLv3이 표시 될 수도 있습니다.
Bruno

1
그 대답은 틀렸다. STARTTLS는 많은 프로토콜 (예 : SMTP)에서 TLS 또는 SSL을 시작하는 데 사용되는 명령입니다. 그 외에는 관련이 없습니다.
Nikos
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.