¿TLS es la "nueva" versión de SSL? ¿Qué características agrega o problemas de seguridad que aborda?
¿Puede cualquier cosa que admita SSL admitir TLS? ¿Qué implicaría hacer el cambio? ¿Vale la pena el cambio?
¿Por qué los correos electrónicos se envían a través de "TLS oportunista" y VPN a menudo llamados SSL VPN? ¿Hay alguna diferencia en la tecnología, quizás creando espacio para una línea de productos "TLS VPN"?
Respuestas:
TLS y SSL son tecnologías estrechamente relacionadas.
Primero, correo electrónico y TLS oportunista. ESMTP tiene la opción de realizar la parte de transferencia de datos real de la conversación a través de un enlace cifrado. Esto es parte del protocolo y se ha denominado TLS durante la mayor parte de su existencia. Funciona más o menos así:
-> EHLO foreignmailer.example.com
<- 250 Howdy, stranger
<- [list of capabilities, of which TLS is listed]
-> [Indicates it wants to start a TLS session]
<- [accepts negotioation]
-> [Mail actions, of which LOGIN might be one]
Una vez que se ha iniciado la sesión TLS, pueden estar disponibles nuevos métodos de inicio de sesión. Este es un ejemplo de un protocolo que incluye Transaction Layer Security en él directamente. Los certificados utilizados son el mismo tipo de certificados utilizados para SSL sobre HTTP.
Para ver un ejemplo de un servicio que no incluye TLS directamente, tome POP3 sobre SSL. En ese caso, la sesión segura se negocia antes de negociar el protocolo real. En esencia, POP3 se encapsula dentro de una sesión segura.
En general, si un servicio admite SSL, puede ampliarse para admitir TLS. Si eso se ha hecho o no, depende de los encargados del servicio. Esto significa que TLS puede reemplazar SSL en "VPN SSL".
Las VPN SSL son distintas de sus primos basados en IPSec en que la sesión segura se realiza a un nivel diferente. Las VPN SSL hacen su trabajo de la misma manera que lo hace POP3 sobre SSL, ya que el tráfico se encapsula a través de una conexión TCP existente. Las VPN IPSec crean un túnel seguro de nivel IP , donde las VPN SSL crean un túnel seguro de nivel TCP . La razón por la cual las VPN SSL parecen estar asumiendo el control es porque son más fáciles de configurar y son más tolerantes a las malas condiciones de la red. Las VPN SSL pueden usar el protocolo TLS y lo hacen para proteger la sesión, aunque depende del fabricante de la propia VPN.
En cuanto a las diferencias exactas de nivel de protocolo entre SSL y TLS, en las que no puedo entrar. TLS como estándar se llegó más tarde que SSL y, por lo tanto, incluye algunas de las lecciones aprendidas en las primeras versiones de SSL. SSLv3 fue ratificado en 1996 y TLS1.0 en 1999, y el desarrollo de protocolos adicionales parece estar limitado al conjunto de TLS. Ha tardado MUCHO tiempo para que SSLv1 y v2 desaparezcan. TLS es el claro sucesor de la suite SSL.
TLS es esencialmente una actualización a SSL. Los cambios no son dramáticos, pero son lo suficientemente significativos como para romper la compatibilidad con SSL3.0.
El artículo de Wikipedia lo cubre ampliamente, pero en términos razonablemente comprensibles. (No me refiero a RTFM, pero no quiero repetir todo allí).
Se usan de manera similar y todavía se conoce como SSL. Básicamente, usted elige su esquema de cifrado para ser uno u otro.
opensslParece estar en desacuerdo. (Muchos programas dicen "TLS" cuando significan "STARTTLS".)
SSL, como ya señalaron las personas, es un protocolo diseñado por Netscape en el pasado. En algún momento, el organismo de estándares IETF decidió adoptar el protocolo SSLv3 como estándar, por lo que se modificó muy sutilmente y se denominó TLSv1.0.
Entonces, para la mayoría de las personas, TLSv1.0 es casi equivalente a SSLv3. La razón por la que la gente todavía llama a la familia de protocolos SSL es por razones históricas: todos están acostumbrados al nombre, por lo que siguen usándolo. Es bastante posible que la VPN esté usando TLS debajo de la cubierta, pero el nombre de marketing aún permanece como SSL VPN.
Desde TLSv1.0, ha habido dos revisiones del estándar y ahora está en TLSv1.2, que si bien es compatible, tiene algunos cambios significativos. Debido al diseño SSL / TLS, tanto el cliente como el servidor pueden negociar qué versión del protocolo quieren usar, de modo que los clientes que usan TLSv1.0 aún pueden comunicarse con los servidores que implementan TLSv1.2 y viceversa.
Teniendo en cuenta la interoperabilidad entre todas las versiones del protocolo, no hay "hacer un cambio", ya que son la misma familia. Se trata de "¿Necesito usar una versión más nueva?". Al igual que con cualquier otra área, la respuesta a esta pregunta dependerá de si la versión actual que está utilizando tiene limitaciones o no. Actualmente no hay problemas con el uso de SSLv3, pero la mayoría de los clientes y servidores trabajan con TLSv1.0.
Espero que esto aclare un poco la imagen. Si no es así, avíseme qué sigue siendo confuso. Intentaré explicarlo más.
¿TLS es la "nueva" versión de SSL? ¿Qué características agrega o problemas de seguridad que aborda?
TLS es T ransporte L ayer S ecurity y generalmente se refiere al comando STARTTLS en servidores de correo SMTP. Puede o no usar SSL (vea Palm versamal para un ejemplo) pero en general SSL es el principal sistema de seguridad utilizado. TLS también se ha utilizado para otros fines (como HTTP) y la última especificación de RFC está en la versión 1.2
¿Puede cualquier cosa que admita SSL admitir TLS? ¿Qué implicaría hacer el cambio? ¿Vale la pena el cambio?
Por lo general, pero por cualquier motivo, con TLS como consideración, se está refiriendo a los servidores de correo, por lo que específicamente los servidores de correo que tienen un certificado SSL pueden usar TLS para transferir correo y recibir correo.
¿Por qué los correos electrónicos se envían a través de "TLS oportunista" y VPN a menudo llamados SSL VPN? ¿Hay alguna diferencia en la tecnología, quizás creando espacio para una línea de productos "TLS VPN"?
Esto huele a las cabezas de carne de marketing que entraron en la habitación. "TLS oportunista" simplemente significa que si starttls no devuelve un 220 (Listo para iniciar TLS), continúe y envíe el correo electrónico de todos modos. Tenga en cuenta que TLS es una opción de ENVIAR, no una opción de receptor, podría ser posible con algunos servidores de correo rechazar el correo que no sea TLS, pero esa sería la excepción, no la regla.
TLS también admite la autenticación mutua y no simplemente el cifrado de una conexión.
Enviar un correo electrónico a través de una VPN (ya sea SSL u otro esquema de seguridad) simplemente hace que la seguridad de los servidores de correo sea esencialmente irrelevante, puede usar TLS sobre una VPN (e incluso puede usar TLS como el esquema de seguridad de VPN) pero no necesariamente afecta cómo el correo se transporta si solo se encripta la conexión VPn entre servidores de correo (por lo tanto, desde los servidores de correo de origen y de destino, podrían estar transmitiendo texto en claro estándar)