一文了解,SSL的起源和发展史

随着网络技术的发展,当前各大浏览器厂商都对尚未使用SSL证书,切换到HTTPS的网站做了风险预警。SSL证书的如此重要,你了解SSL证书的诞生和发展史吗?跟随本文一起来了解SSL的前世今生。

SSL(Secure Sockets Layer)即安全套接层,是一种用于保护网络通信安全性的协议,其起源和发展史可以归纳如下:

一、起源

SSL最早由网景公司(Netscape Communications)开发,其目标是在互联网上建立安全的通信通道,以保护敏感信息的传输。网景公司在1994年推出首版网页浏览器网景导航者时,推出了HTTPS协议,并以SSL进行加密,这被视为SSL的起源。

二、发展历史

SSL 1.0:虽然网景公司发布了SSL 1.0,但该版本存在许多安全漏洞,因此很快被后续版本取代,且其版本从未公开过。

SSL 2.0:1995年2月,网景公司发布了SSL 2.0,这是SSL协议的第一个公开版本。它解决了SSL 1.0的许多问题,但仍然存在一些严重的安全漏洞,因此后来被SSL 3.0取代。

SSL 3.0:1996年,SSL 3.0在SSL 2.0的基础上进行了重大改进,并解决了许多安全性问题。它引入了许多加密和身份验证机制,为安全通信提供了更强的保护。SSL 3.0被广泛采用,直到后来被TLS(Transport Layer Security)协议取代。

TLS的出现与演进:

TLS 1.0:为了解决SSL 3.0中的一些安全性问题,IETF(互联网工程任务组)将SSL标准化,并在1999年公布了第一版TLS标准文件,即TLS 1.0。从技术上讲,TLS 1.0与SSL 3.0的差异非常微小,但足以排除两者之间的互操作性。

TLS 1.1:2006年4月,TLS 1.1作为TLS 1.0的更新版本被发布。它进行了多项改进,如隐式IV被替换成一个显式的IV、更改分组密码模式中的填充错误、支持IANA登记的参数等。

TLS 1.2:2008年8月,TLS 1.2基于更早的TLS 1.1规范被发布。它引入了更强的加密算法和协议特性,如可使用密码组合选项指定伪随机函数使用SHA-256替换MD5-SHA-1组合等。

TLS 1.3:2018年,TLS 1.3作为TLS协议的最新版本被发布。它进一步简化了握手过程,提供更快的连接建立时间,并增强了安全性。TLS 1.3废除了一些过时的加密算法和协议特性,以减少潜在的安全风险。

三、证书类型的发展之路

现在我们使用的证书类型已经是丰富多样,用户的选择范围也较之于诞生之初有大大的提升。DV,OV,EV是目前市场主流的证书类型,但是他们的产生顺序和他们加密等级的顺序相比还是有所区别。

问世之初:OV SSL证书

SSL证书在20世纪90年代问世时只有一种证书类型,就是我们现在所说的"组织机构验证型OV SSL证书",OV SSL证书通过审查组织机构身份,确保网站所有者身份真实性,并提供SSL/TLS加密保护数据传输安全。

SSL协议在1996年问世时,只有极少的CA为特定用途或少量使用SSL的网站颁发SSL证书,但追踪历史上第一张SSL证书已经非常困难,通过探究,最早的证书可能是RSA公司在1994年颁发的,最早的含有有效期的证书是从1998年2月13日开始的。但是这并不意味着这家CA在此之前没有签发证书,可能相关的记录是不完整的。

2001年:DV SSL证书诞生

然而在SSL证书应用早期,并不是每个网站都愿意花费时间和成本进行身份验证。在2001年,某些CA开始简化身份验证流程,提供只验证域名的DV SSL证书,从而降低价格、使HTTPS加密变得更容易获取,帮助提高网站的安全性。

2007年:EV SSL证书诞生

经过简化的DV SSL证书仅起到数据传输加密的作用,却缺失了SSL证书原有的身份验证功能。电子商务、网上银行等需要用户高度信任的网站,无法通过完善的身份信息展示赢得用户信任。为了解决这一问题,2007年EV SSL证书诞生,国际标准组织CA/B Forum制定了EV验证指南,所有颁发EV SSL证书的CA机构必须遵循全球统一的严格身份验证标准,扩展验证网站所有者的身份信息。

四、广泛应用

自TLS发布以来,由于其提供了更强大的加密和身份验证机制,逐渐成为现代加密通信的主流标准。在浏览器、电子邮件、即时通信、VoIP、网络传真等应用程序中,广泛支持TLS协议。主要的网站,如Google、Facebook等也以TLS协议来创建安全连线、发送数据。用户可以通过观察浏览器地址栏中的HTTPS标志来判断当前网站是否使用SSL/TLS加密连接。

五、安全性问题与挑战

尽管SSL/TLS协议在保障网络通信安全方面发挥了重要作用,但随着网络安全威胁的不断演变,其也面临着一些安全性问题与挑战。例如,在2014年10月,Google发布了在SSL 3.0中发现的设计缺陷,并建议禁用此协议。攻击者可以向TLS发送虚假错误提示,然后将安全连接强行降级到过时且不安全的SSL 3.0,利用其中的设计漏洞窃取敏感信息。因此,各大厂商和产品纷纷禁用SSL 3.0,并强制使用TLS协议。

SSL的诞生和发展史其实就是一部不断解决网络安全问题的技术发展史,PinTrust从成立之初就秉承"以仁为本,用心服务"的理念,始终站在客户的角度思考客户在网络安全中的痛点问题,以期赢得客户口碑,为助力客户的长远发展和腾飞添砖加瓦。

相关推荐
独行soc1 小时前
#渗透测试#红蓝对抗#Src漏洞挖掘 介绍-Yakit(3)
测试工具·web安全·网络安全·yakit·护网
balibali882 小时前
频率限制:WAF保护网站免受恶意攻击的关键功能
网络安全
y0ungsheep3 小时前
[GXYCTF 2019]Ping Ping Ping 题解(多种解题方式)
linux·web安全·网络安全·php
bossface3 小时前
申请https证书
服务器·网络协议·https·ssl
dessler3 小时前
Linux系统-开关机
linux·运维·云计算
duliduli12194 小时前
当遇到 502 错误(Bad Gateway)怎么办
网络安全
TIKTOKER24 小时前
当遇到 502 错误(Bad Gateway)怎么办
网络安全
hanniuniu134 小时前
动态威胁场景下赋能企业安全,F5推出BIG-IP Next Web应用防火墙
网络协议·tcp/ip·安全
Gnevergiveup5 小时前
源鲁杯2024赛题复现Web Misc部分WP
安全·网络安全·ctf·misc