我必须确保web服务的安全,并且我可以使用的协议是SSLv2或SSLv3或TLSv1.2或SSLv3与TLSv1.2组合。我知道SSLv3在SSL方面是最安全的协议,TLSv1.2在TLS方面也是最安全的。但问题是,我必须使用上面的哪些协议来保护我的网络服务?如果有答案的话,我也想知道原因。感谢
TLS是SSL加密协议的升级版本,它可以在互联网上实现更安全的通信。由于POODLE和其他SSL漏洞,SSLv3已被弃用。
因此,我建议您可以使用TLS 1.2协议,因为它是在2008年8月定义的,现在使用。TLSv1.2协议与SSL证书兼容,通过互联网为您的web服务提供增强的通信安全性。获取更多详细信息
您的声明不正确,TLS 1.2+比SSLv3更安全。SSLv3由于最近的漏洞(如Poodle Attack)而不安全。您绝对应该使用TLS 1.2+来保护您的应用程序。这里有一本很好的读物。
SSLv2早已过时,大多数客户端不再支持它,因为它不安全。几年前,由于POODLE攻击,SSLv3也发生了同样的事情,但你仍然可以发现相当多的系统支持SSLv3。TLS 1.0和1.1存在设计问题,因此建议不再使用这些,但大多数安装仍然支持这些。如果你可以自由选择客户端和服务器,你肯定应该使用TLS 1.2,它是目前最新的,被认为是安全的。一旦最终指定TLS 1.3,它可能会在未来几年(甚至今年)被替换为最新版本,但TLS堆栈支持这一点还需要一段时间。
请注意,安全性不仅取决于协议版本,还取决于密码的正确选择、正确的证书,当然还有证书的正确验证。
除此之外,SSL和TLS之间并没有真正的区别:TLS 1.0实际上就是SSL 3.1。实际上,SSL 2.0和SSL 3.0之间的差异远大于SSL 3.0和TLS 1.0之间的差异。