Я начинаю изучать защиту информации и начинаю с OpenSSL. Но я читал в Википедии, что у SSL проблемы с безопасностью, которые еще не решены, и кто-то должен использовать TLS вместо этого. Это правда? Это значит, что SSL теперь устарел? (потому что существует другой способ защиты информации, а не исправление SSL)Является ли SSL теперь устаревшим?
TLS - это просто новое название протокола, ранее называвшегося SSL. Если вы посмотрите на уровень протокола, вы увидите, что TLS 1.0 практически равен SSL 3.1, TLS 1.1 - SSL 3.2 и т. Д. Версии до версии 3.0 3.0 включая версию 3.0 считаются сломанными и больше не должны использоваться. Из-за этого наименования на практике «SSL» и «TLS» часто используются для обозначения одной и той же группы протоколов, и часто вы также найдете «SSL/TLS» для ссылки на эту группу протоколов. Обычно, только если номер версии добавлен, они относятся только к этой версии. Библиотеки, такие как OpenSSL, PolarSSL, MatrixSSL и т. Д. Реализуют группу протоколов, то есть SSL и TLS.
Чтобы добавить к этому путанице именования, «SSL» часто используется вместе с протоколами, такими как SMTP (отправка почты) или IMAP (почтой доступа), означает безопасное соединение с момента запуска, в то время как «TLS» используется в этом контексте для обеспечения безопасности после выдачи конкретной команды STARTTLS. Вместо этого лучше использовать «неявный» и «явный» SSL/TLS.
SSL как протокол небезопасен, и вместо этого следует использовать TLS. Тем не менее, люди часто используют имя «SSL» для обозначения SSL, а также TLS. Кроме того, он часто включается во многие системы в качестве резервной меры, так что соединения могут иметь некоторую безопасность, по крайней мере, если TLS недоступен. Существенные заслуги в этом сомнительны, поскольку некоторые люди считают, что это позволяет разработчикам быть ленивыми или даже не осознавать, что использует небезопасный метод.
OpenSSL - это просто имя, оно также поддерживает TLS. –