在浏览有关TLS和SSL的互联网时,我发现在2018年6月30日,由于POODLE等漏洞,IETF禁止SSL和TLS 1.0(在此网站上找到:https://blog.pcisecuritystandards.org/are-you-ready-for-30-june-2018-saying-goodbye-to-ssl-early-tls)。IETF或其他组织/公司是否在替代SSL,以便使用它的所有协议(不仅仅是HTTPS)仍然有效?
在浏览有关TLS和SSL的互联网时,我发现在2018年6月30日,IETF禁止SSL和TLS 1.0....
虽然您没有提供此声明的来源("浏览互联网"不是一个可用的来源),但我认为您在这里混淆了几件事:
SSL 2.0 被破坏多年,SSL 3.0 也被认为是坏的(POODLE- 攻击),TLS 1.0 有已知的弱点,但不被认为是严重破坏的(POODLE 在这里不适用,除了没有正确实现标准的错误的实现)
- IETF 在 2018 年 6 月 30 日并未禁止 TLS 1.0。相反,此日期来自PCI安全标准councel,例如与支付提供商相关。
文档从 SSL 和早期 TLS 迁移包含以下语句:
2018 年 6 月 30 日之后,所有实体必须停止使用 SSL/早期 TLS 作为安全控制措施,并且仅使用 协议(某些 POS POI 终端的余量在下面的最后一个项目符号中描述)
这里的"早期TLS"指的是TLS 1.0,"SSL"指的是SSL 3.0,这意味着人们仍然可以使用TLS 1.1和TLS 1.2以及新的TLS 1.3,只要PCI要求适用。您可以在这些要求之外继续使用 TLS 1.0(即对于非支付站点),尽管建议使用支持良好且更安全的 TLS 1.2(或更好)。此外,所有现代操作系统和浏览器多年来都支持TLS 1.2,因此无需担心。