了解

什么是 TLS？

了解传输层安全 (TLS) 协议的基础知识以及这些协议如何助力您的组织。

什么是 TLS？

TLS 表示“传输层安全”(Transport Layer Security)。简而言之，它是一种加密协议，可维护 Web 通信（例如互联网浏览、网络邮件和视频会议）的隐私和数据完整性。更简单地说，它使用加密算法来降低黑客劫持在线设备和应用程序之间连接的风险。

TLS 是一种安全协议，其名称来源于开放系统互连 (OSI) 模型。 OSI 模型是网络通信工作原理的概念框架，它将网络通信分为七层。 TLS 主要在传输层运行，支持两个端点之间的安全通信。话虽如此，它还保护应用层协议，例如用于网页浏览的 HTTP（超文本传输协议）和用于电子邮件的 SMTP（简单邮件传输协议）等。

总体而言，TLS 协议有三个主要功能：

加密：TLS 加密会在敏感数据的传输过程中隐藏这些数据，使其免遭未经授权的访问。换句话说，它建立了安全的连接，能让两方或多方安全交换信息。
身份验证：TLS 还确保参与交易的所有各方都是他们本人。例如，用户在浏览互联网时，TLS 可以为浏览器确认网站或 Web 服务器的真实性。
完整性： TLS 会验证数据是否未被第三方伪造或篡改，以及所有信息是否按预期到达目的地。

什么是 SSL？

SSL 代表“安全套接字层”(Secure Socket Layer)，这是传输层安全的前身。与 TLS 一样，它是一种互联网安全协议，用于对网站进行身份验证并通过加密连接实现安全通信。

1995 年，一家名为 Netscape 的计算机服务公司开发了最初的 SSL 协议。但是，由于存在明显的安全漏洞，该公司从未向公众发布过此版本。经过两次后续迭代，互联网工程任务组 (IETF) 于 1999 年发布了第一个 TLS 协议。

IETF 最初开发 TLS 1.0 时将其命名为 SSL 3.1。为了避免与 Netscape 之间出现问题，IETF 将该协议名称更改为 TLS，但业内许多人仍使用其以前的名称。您甚至可以看到有人同时使用这两个名字，例如称其为 TLS/SSL 加密。

TLS 和 SSL 有什么区别？

尽管叫法有些混乱，但由于以下几个重要原因，这两个协议仍有很大区别：

密码套件：与安全套接字层相比，TLS 提供更多种密码套件。简言之，密码套件是一组用于建立安全通信的算法。 TLS 更加灵活，可让用户选择最符合其安全要求和偏好的套件。
安全性：TLS 的加密性较 SSL 大大增强，而且随着版本更替，其加密性不断提升。例如，TLS 1.3 删除了较旧的加密算法和不安全的功能，并引入了完全正向保密。完全正向保密本质上是加密系统的一项功能，其中每个会话密钥都是唯一的，并且是独立派生的，这可以确保一个密钥的泄露不会危及过去或未来的通信。
兼容性： TLS 旨在向后兼容 SSL。也就是说允许使用较旧 SSL 版本的系统与使用较新 TLS 协议的系统通信。

实际上，SSL 协议的所有版本都已过时多年，这意味着它们不再提供足够的保护。相比之下，TLS 现在是互联网的默认加密协议。事实上，美国国家技术标准研究院 (NIST) 要求所有政府机构的 TLS 服务器和客户端都支持 TLS 1.2，并建议各机构尽快采用 TLS 1.3。

为什么要使用 TLS 协议？

TLS 加密主要用于保护 Web 应用程序和网站，使其抵御数据泄露和其他攻击。如果没有 TLS 协议，未知的第三方便可以轻松拦截和读取敏感数据，例如登录凭证、信用卡详细信息和个人信息。使客户端和 Web 应用程序支持 TLS 可确保它们之间传输的数据经过安全算法的加密，让未经授权的用户无法读取。

传输层安全的优势

TLS 是许多用例的重要资产，例如：

增强安全性：通过加密的 TLS 连接，您可以防止黑客窃听、篡改或截获您的敏感数据。
提高身份验证能力： TLS 提供特定机制，能验证交易中涉及的客户端和服务器身份。这有助于防止中间人攻击，确保客户端与合法服务器互相通信。
建立客户信任： TLS 连接相当于一颗“定心丸”，能让用户确信其浏览会话受到全面的保护且完全私密。这可以帮助客户在开设新账户或进行在线购物时放心分享他们的个人信息或支付详情。
促进搜索引擎优化 (SEO)： Google 已将网站安全性纳入其搜索引擎算法。因此，TLS 协议不仅可以保护用户，还可以提高企业在结果页面上的可见性。

TLS 加密的工作原理是什么？

TLS 能在客户端设备（例如计算机或手机）上与 Web 服务器之间建立安全连接。在加密会话之前，它首先会对连接进行身份验证。换句话说，它会确保 Web 服务器是合法的，而不是有冒名顶替者试图窃取敏感数据。

这个过程被称为“TLS 握手协议”，从客户端向目标服务器发送初始消息时开始。目标服务器以证明其真实性的信息作为回复，当双方都经过验证后，他们就会进行密钥交换。简而言之，该过程建立加密的 TLS 连接，从而允许双方之间安全通信。

这一过程必须用到三个基础部分：密码学、数字证书和公钥基础结构 (PKI)。下面我们逐一讲解。

密码学：对称加密与非对称加密

简单来说，密码学是保护通信并使其无法被第三方读取的技术。该过程的一个重点是加密，即使用加密算法将明文数据转换为密文，从而掩盖信息。

密码学还依赖于名为“密钥”的数字资产，这些资产就像加密和解密通信的秘密工具。公钥用于加密数据，对所有人公开，而私钥用于解密数据，只有一方知道。

传输层安全使用两种不同类型基于密钥的加密技术：

对称加密也称为对称密码，使用相同的密钥来加密和解密数据。
非对称加密同时使用公钥和私钥。如果不同时拥有两者，就无法解密加密的数据。

尽管对称加密通常效率更高，但把信任仅交托给一个密钥是有风险的。非对称加密的优势在于，它用数学方法将其两个密钥关联在一起，从而使攻击者更难破解密码。

数字证书

数字证书是证明公钥所有权的电子文件。不同用例使用不同类型的数字证书，例如代码签名证书、文档签名证书、电子邮件证书等。

Web 浏览器使用 TLS 证书来识别和建立客户端与服务器之间的安全连接。每个证书都与特定的域名或实体唯一关联，充当一种数字身份证。因此，您可以将 TLS 证书视为一种身份验证机制。

当客户端启动与服务器的连接时，服务器会发送其数字证书，其中包含有关以下内容的详细信息：

域名和所有者
它使用的是哪个版本的 TLS
证书颁发和到期日
公共密钥
其证书颁发机构 (CA) 和数字签名

验证后，双方都会生成一个共享密钥。然后，此密钥用于计算握手期间交换的每条消息的消息认证码 (MAC)。通过比较 MAC，客户端和服务器确认消息在传输过程中没有被更改，进一步确保身份验证过程可靠。

公共密钥基础建设 (PKI)

公钥基础结构是指创建、管理、存储、分发和吊销数字证书的角色、策略、技术和程序。简而言之，PKI 是将公钥与其各自身份绑定的系统，无论身份是个人、域名还是组织。

最重要的是，组织只能从受认可的证书颁发机构 (CA) 获得 TLS 证书，例如 Entrust。 CA 是可信实体，负责验证请求者的身份、颁发数字证书并使用其私钥对其进行数字签名。

该数字签名可用作真实性和完整性的密码学证明。此外，数字签名可让收件人（例如 Web 浏览器）通过使用 CA 的公钥解密签名来验证证书的有效性，其中的公钥已广泛分发并预先安装在可信根存储库中。

TLS 握手协议中的步骤

TLS 握手是客户端和服务器交换的一系列消息。该过程中的具体步骤因使用的加密算法以及各方支持的密码套件而异。但是，不管这些因素如何，所有的 TLS 握手都使用非对称加密，而非都使用对称加密。换句话说，他们并不总是使用私钥来生成会话密钥。

通常情况下，大多数握手将遵循以下基本步骤：

客户端设备向 Web 服务器发送“客户端问候”(Client Hello) 消息，包括设备支持哪个 TLS 协议和密码套件等。
服务器以“服务器问候”(Server Hello) 消息作为回应。这包括其相应的 TLS 证书，证书中包含其公钥。
为了验证其真实性，客户端会向颁发该证书的证书颁发机构检查服务器的 TLS 证书。这证实了服务器是它声称的身份，并且由实际的域名所有者运营。
验证后，客户端会生成预主密钥，这也称为会话密钥。
Web 服务器使用自己的私钥解密会话密钥。
最后，密钥交换完成后，双方便建立了安全的连接。

TLS 如何影响 Web 应用程序性能？

最新的 TLS 版本对 Web 应用程序几乎没有任何影响。尽管 TLS 握手协议可能看起来既耗时又复杂，但实际上它会在几秒钟内完成。

一些技术（例如 TLS 错误启动）可以降低延迟，以确保流畅的性能。这可让服务器和客户端在握手完成之前传输数据。还有些技术（例如 TLS 会话恢复）可让各方在之前进行过通信的情况下使用流程简化的握手。

什么是证书管理？

证书管理是生成、存储、保护、传输、使用和吊销数字证书的过程。其中包括管理数字证书生命周期所需的所有策略、技术和步骤。

证书管理为什么很重要？因为它能确保加密资产始终安全。不当的证书管理做法（例如证书过期或泄露）可能导致数据泄露、中间人攻击或服务中断。

幸运的是，Entrust 可以助您全面简化这项工作。我们的解决方案包括 Entrust 证书服务平台，这是您所有数字证书的一站式管理平台。该平台使监督变得简单直观，您可以从一个控制面板管理多个 CA 的整个生命周期。

如何获取 TLS 证书

获取 TLS 证书的过程很简单。当您知道需要哪种类型的证书时，只需向经授权的 CA 提交证书签名请求即可。

Entrust 已将其公共证书业务出售给 Sectigo。

建议客户将 Sectigo 的解决方案视为值得信赖的替代方案。点击此处查看新闻稿，访问我们的 Entrust TLS 证书信息中心，了解更多信息。

什么是 TLS？

什么是 TLS？

什么是 SSL？

TLS 和 SSL 有什么区别？

为什么要使用 TLS 协议？

传输层安全的优势

TLS 加密的工作原理是什么？

密码学：对称加密与非对称加密

数字证书

公共密钥基础建设 (PKI)

TLS 握手协议中的步骤

TLS 如何影响 Web 应用程序性能？

什么是证书管理？

如何获取 TLS 证书

Entrust 已将其公共证书业务出售给 Sectigo。

联系信息

公司

新闻中心

产品资源