Безопасность транспортного уровня - Transport Layer Security

Безопасность транспортного уровня (TLS), и его теперь устаревший предшественник, Уровень защищенных гнезд (SSL),[1] находятся криптографические протоколы предназначен для обеспечения безопасность связи через компьютерная сеть.[2] Несколько версий протоколов широко используются в таких приложениях, как просмотр веб-страниц, электронное письмо, обмен мгновенными сообщениями и передача голоса по IP (VoIP). Веб-сайты могут использовать TLS для защиты всех сообщений между своими серверы и веб-браузеры.

Протокол TLS в первую очередь предназначен для Конфиденциальность и целостность данных между двумя или более взаимодействующими компьютерными приложениями.[2]:3 При защите с помощью TLS соединения между клиентом (например, веб-браузером) и сервером (например, wikipedia.org) должны иметь одно или несколько из следующих свойств:

  • Связь частный (или же безопасный) потому что симметричная криптография используется, чтобы зашифровать переданные данные. В ключи для этого симметричного шифрования генерируются уникально для каждого соединения и основаны на поделился секретом это было согласовано в начале сессия (увидеть § Рукопожатие TLS ). Сервер и клиент согласовывают детали того, какой алгоритм шифрования и криптографические ключи использовать перед первым байт данных передается (см. § Алгоритмы ниже). Согласование общего секрета является безопасным (согласованный секрет недоступен для подслушивающие и не может быть получен даже злоумышленником, который находится в середине соединения) и надежен (злоумышленник не может изменить обмен данными во время переговоров, не будучи обнаруженным).
  • Личность сообщающихся сторон может быть аутентифицированный с помощью криптография с открытым ключом. Эту аутентификацию можно сделать необязательной, но обычно она требуется по крайней мере для одной из сторон (обычно сервера).
  • Связь надежный поскольку каждое переданное сообщение включает проверку целостности сообщения с использованием код аутентификации сообщения для предотвращения необнаруженной потери или изменения данных во время коробка передач.[2]:3

Помимо перечисленных выше свойств, осторожно конфигурация TLS может предоставлять дополнительные свойства, связанные с конфиденциальностью, такие как прямая секретность, гарантируя, что любое раскрытие ключей шифрования в будущем не может быть использовано для расшифровки любых сообщений TLS, записанных в прошлом.[3]

TLS поддерживает множество различных методов обмена ключами, шифрования данных и проверки целостности сообщений (см. § Алгоритмы ниже). В результате безопасная конфигурация TLS включает в себя множество настраиваемых параметров, и не все варианты обеспечивают все свойства, связанные с конфиденциальностью, описанные в приведенном выше списке (см. § Обмен ключами (аутентификация), § Безопасность шифрования, и § Целостность данных таблицы).

Были предприняты попытки подорвать аспекты безопасности связи, которые стремится обеспечить TLS, и протокол несколько раз пересматривался для устранения этих угроз безопасности (см. § Безопасность ). Разработчики веб-браузеров неоднократно пересматривали свои продукты для защиты от потенциальных слабых мест в системе безопасности после их обнаружения (см. История поддержки TLS / SSL веб-браузерами ).[4]

Протокол TLS состоит из двух уровней: Запись TLS и Рукопожатие TLS протоколы.

TLS - это предлагаемая рабочая группа по развитию Интернета (IETF ) стандарт, впервые определен в 1999 году, а текущая версия - TLS 1.3, определенная в RFC  8446 (Август 2018 г.). TLS основан на более ранних спецификациях SSL (1994, 1995, 1996), разработанных Netscape Communications[5]для добавления HTTPS протокол к их Навигатор веб-браузер.

Описание

Клиент-сервер приложения используют TLS протокол общаться по сети таким образом, чтобы предотвратить подслушивание и вмешательство.

Поскольку приложения могут обмениваться данными с TLS (или SSL) или без него, это необходимо для клиент указать сервер настройка TLS-соединения.[6] Один из основных способов добиться этого - использовать другой номер порта для соединений TLS, например порт 443 для HTTPS. Другой механизм заключается в том, что клиент делает запрос к серверу для переключения соединения на TLS; например, сделав STARTTLS запрос при использовании почты и Новости протоколы.

После того, как клиент и сервер согласились использовать TLS, они согласовывают сохранный подключение с помощью подтверждение связи процедура.[7] Протоколы используют рукопожатие с асимметричный шифр для установки не только параметров шифрования, но и общего ключа для конкретного сеанса, с помощью которого дальнейшее взаимодействие шифруется с использованием симметричный шифр. Во время этого рукопожатия клиент и сервер согласовывают различные параметры, используемые для установления безопасности соединения:

  • Рукопожатие начинается, когда клиент подключается к серверу с поддержкой TLS, запрашивая безопасное соединение, и клиент представляет список поддерживаемых наборы шифров (шифры и хэш-функции ).
  • Из этого списка сервер выбирает шифр и хэш-функцию, которые он также поддерживает, и уведомляет клиента о решении.
  • Затем сервер обычно предоставляет идентификацию в виде Цифровой сертификат. Сертификат содержит имя сервера, доверенный центр сертификации (CA), который гарантирует подлинность сертификата и открытого ключа шифрования сервера.
  • Перед тем, как продолжить, клиент подтверждает действительность сертификата.
  • Чтобы сгенерировать ключи сеанса, используемые для безопасного соединения, клиент либо:
    • шифрует случайный номер с открытым ключом сервера и отправляет результат на сервер (который только сервер может расшифровать с помощью своего закрытого ключа); обе стороны затем используют случайное число для генерации уникального сеансового ключа для последующего шифрования и дешифрования данных во время сеанса.
    • использует Обмен ключами Диффи – Хеллмана для безопасного создания случайного и уникального сеансового ключа для шифрования и дешифрования, который имеет дополнительное свойство прямой секретности: если закрытый ключ сервера будет раскрыт в будущем, его нельзя будет использовать для расшифровки текущего сеанса, даже если сеанс перехватывается и записывается третьей стороной.

На этом рукопожатие завершается и начинается защищенное соединение, которое шифруется и дешифруется с помощью сеансового ключа, пока соединение не закрывается. Если какой-либо из вышеперечисленных шагов завершился неудачно, квитирование TLS не удалось и соединение не было создано.

TLS и SSL не подходят ни к одному уровню Модель OSI или Модель TCP / IP.[8][9] TLS работает «поверх какого-то надежного транспортного протокола (например, TCP)»,[10] что означало бы, что это выше транспортный уровень. Он обслуживает шифрование на более высоких уровнях, что обычно является функцией уровень представления. Однако приложения обычно используют TLS, как если бы это был транспортный уровень,[8][9] даже несмотря на то, что приложения, использующие TLS, должны активно управлять инициированием установления связи TLS и обработкой обменных сертификатов аутентификации.[10]

История и развитие

Протоколы SSL и TLS
ПротоколОпубликованоПоложение дел
SSL 1.0Не опубликованоНе опубликовано
SSL 2.01995Не рекомендуется в 2011 г. (RFC 6176 )
SSL 3.01996Не рекомендуется в 2015 г. (RFC 7568 )
TLS 1.01999Устарело с 2020 г.[11][12][13]
TLS 1.12006Устарело с 2020 г.[11][12][13]
TLS 1.22008
TLS 1.32018

Система безопасной передачи данных

Протокол безопасности транспортного уровня (TLS) вместе с несколькими другими базовыми платформами сетевой безопасности был разработан в рамках совместной инициативы, начатой ​​в августе 1986 года Агентством национальной безопасности, Национальным бюро стандартов, Агентством оборонной связи и двенадцатью организациями связи и компьютерные корпорации, инициировавшие специальный проект под названием Secure Data Network System (SDNS).[14] Программа была описана в сентябре 1987 года на 10-й Национальной конференции по компьютерной безопасности в большом количестве опубликованных статей. Инновационная исследовательская программа была сосредоточена на разработке следующего поколения защищенных компьютерных коммуникационных сетей и спецификаций продуктов, которые будут реализованы для приложений в публичных и частных сетях. Он был призван дополнить быстро появляющиеся новые интернет-стандарты OSI, продвигающиеся как в профилях GOSIP правительства США, так и в огромных международных усилиях ITU-ISO JTC1 в Интернете. Первоначально известный как протокол SP4, он был переименован в TLS и впоследствии опубликован в 1995 году как международный стандарт ITU-T X.274 | ИСО / МЭК 10736: 1995.

Безопасное сетевое программирование

Ранние исследования в области безопасности транспортного уровня включали Безопасное сетевое программирование (SNP) интерфейс прикладного программирования (API), который в 1993 году исследовал подход к созданию API безопасного транспортного уровня, очень похожего на Розетки Berkeley, чтобы облегчить модернизацию уже существующих сетевых приложений с помощью мер безопасности.[15]

SSL 1.0, 2.0 и 3.0

Netscape разработала оригинальные протоколы SSL и Тахер Эльгамал, главный научный сотрудник Netscape Communications с 1995 по 1998 год, был назван «отцом SSL».[16][17][18][19] Версия 1.0 SSL никогда не выпускалась публично из-за серьезных недостатков безопасности в протоколе. Версия 2.0, выпущенная в феврале 1995 года, содержала ряд недостатков в системе безопасности, которые потребовали разработки версии 3.0.[20][18] Выпущенная в 1996 году версия SSL 3.0 представляла собой полную переработку протокола, разработанного Пол Кохер работал с инженерами Netscape Филом Карлтоном и Аланом Фрейером, используя эталонную реализацию Кристофера Аллена и Тима Диркса из Consensus Development. Более новые версии SSL / TLS основаны на SSL 3.0. Проект SSL 3.0 1996 г. был опубликован IETF как исторический документ в RFC  6101.

SSL 2.0 устарел в 2011 г. RFC  6176. В 2014 году было обнаружено, что SSL 3.0 уязвим для ПУДЕЛЬ атака, которая затрагивает всех блочные шифры в SSL; RC4, единственный неблочный шифр, поддерживаемый SSL 3.0, также может быть взломан, как и в SSL 3.0.[21] Поддержка SSL 3.0 была прекращена в июне 2015 г. RFC  7568.

TLS 1.0

TLS 1.0 был впервые определен в RFC  2246 в январе 1999 года как обновление SSL версии 3.0 и написано Кристофером Алленом и Тимом Дирксом из Consensus Development. Как указано в RFC, «различия между этим протоколом и SSL 3.0 несущественны, но они достаточно значительны, чтобы исключить возможность взаимодействия между TLS 1.0 и SSL 3.0». Тим Диркс позже писал, что эти изменения и переименование с «SSL» в «TLS» были жестом сохранения лица Microsoft, «так что это не будет выглядеть [как] IETF просто штамповкой протокола Netscape».[22]

TLS 1.0 включает средства, с помощью которых реализация TLS может понизить уровень соединения до SSL 3.0, тем самым ослабив безопасность.[23]:1–2

В Совет PCI предложил организациям перейти с TLS 1.0 на TLS 1.1 или выше до 30 июня 2018 г.[24][25] В октябре 2018 г. яблоко, Google, Microsoft, и Mozilla совместно объявили о прекращении поддержки TLS 1.0 и 1.1 в марте 2020 года.[11]

TLS 1.1

TLS 1.1 был определен в RFC  4346 в апреле 2006 г.[26] Это обновление TLS версии 1.0. Существенные отличия этой версии:

TLS 1.2

TLS 1.2 был определен в RFC  5246 в августе 2008 года. Он основан на более ранней спецификации TLS 1.1. Основные отличия включают:

Все версии TLS были дополнительно доработаны в RFC  6176 в марте 2011 года, удалив их обратную совместимость с SSL, так что сеансы TLS никогда не согласовывают использование Secure Sockets Layer (SSL) версии 2.0.

TLS 1.3

TLS 1.3 был определен в RFC  8446 в августе 2018 года. Он основан на более ранней спецификации TLS 1.2. Основные отличия от TLS 1.2:[28]

  • Отделение алгоритмов согласования ключей и аутентификации от наборов шифров
  • Удаление поддержки слабых и менее используемых именованных эллиптические кривые
  • Удаление поддержки MD5 и SHA-224 криптографические хеш-функции
  • Требование цифровой подписи даже при использовании предыдущей конфигурации
  • Интеграция HKDF и полуэфемерное предложение ЦТ
  • Замена возобновления на PSK и билеты
  • Поддержка 1-RTT рукопожатия и начальная поддержка 0-RTT
  • Обязательный совершенная прямая секретность, посредством использования эфемерных ключей во время соглашения о ключах DH (EC)
  • Отказ от поддержки многих небезопасных или устаревших функций, включая сжатие, повторные переговоры, не-AEAD шифры, неPFS обмен ключами (среди которых статические ЮАР и статический DH обмен ключами), на заказ DHE группы, согласование формата точки EC, протокол изменения спецификации шифра, время UNIX сообщения Hello и поле длины, вводимое AD в шифры AEAD
  • Запрещение согласования SSL или RC4 для обратной совместимости
  • Интеграция использования хэша сеанса
  • Устарело использование номера версии уровня записи и заморозить номер для улучшения обратной совместимости
  • Перенос некоторых деталей алгоритмов, связанных с безопасностью, из приложения в спецификацию и передача ClientKeyShare в приложение
  • Добавление ChaCha20 поточный шифр с Поли1305 код аутентификации сообщения
  • Добавление Ed25519 и Ed448 алгоритмы цифровой подписи
  • Добавление x25519 и x448 протоколы обмена ключами
  • Добавляет поддержку отправки нескольких OCSP ответы
  • Шифрует все сообщения рукопожатия после ServerHello

Услуги сетевой безопасности (NSS), криптографическая библиотека, разработанная Mozilla и используется его веб-браузером Fire Fox, включил TLS 1.3 по умолчанию в феврале 2017 года.[29] Впоследствии была добавлена ​​поддержка TLS 1.3, но из-за проблем с совместимостью для небольшого числа пользователей не была включена автоматически[30] - чтобы Firefox 52.0, который был выпущен в марте 2017 года. TLS 1.3 был включен по умолчанию в мае 2018 года с выпуском Firefox 60.0.[31]

Гугл Хром установить TLS 1.3 в качестве версии по умолчанию на короткое время в 2017 году. Затем он удалил его по умолчанию из-за несовместимости промежуточных ящиков, таких как Веб-прокси Blue Coat.[32]

Во время IETF 100 Хакатон который имел место в Сингапур в 2017 году TLS Group работала над адаптацией приложения с открытым исходным кодом использовать TLS 1.3.[33][34] Группа TLS состояла из людей из Япония, объединенное Королевство, и Маврикий через команду cyberstorm.mu.[34] Эта работа была продолжена на хакатоне IETF 101 в г. Лондон, [35] и хакатон IETF 102 в Монреале.[36]

wolfSSL позволяет использовать TLS 1.3 начиная с версии 3.11.1, выпущенной в мае 2017 года.[37] Как первая коммерческая реализация TLS 1.3, wolfSSL 3.11.1 поддерживал Draft 18 и теперь поддерживает Draft 28,[38] финальная версия, а также многие старые версии. Был опубликован ряд блогов о разнице в производительности между TLS 1.2 и 1.3.[39]

В , популярные OpenSSL Project выпустил версию 1.1.1 своей библиотеки, в которой поддержка TLS 1.3 была «главной новой функцией».[40]

Безопасность транспорта предприятия

В Фонд электронных рубежей похвалил TLS 1.3 и выразил озабоченность по поводу варианта протокола Безопасность транспорта предприятия (ETS), который намеренно отключает важные меры безопасности в TLS 1.3.[41] ETS - это опубликованный стандарт, известный как ETSI TS103523-3, «Протокол безопасности промежуточного ящика, часть 3: безопасность транспорта предприятия» и предназначен для использования исключительно в частных сетях, таких как банковские системы, для обнаружения размещения вредоносных программ, незаконной кражи данных и соблюдения нормативных требований в отношении аудита.

Цифровые сертификаты

Пример веб-сайта с цифровым сертификатом

Цифровой сертификат удостоверяет право собственности на открытый ключ названным субъектом сертификата и указывает определенные ожидаемые варианты использования этого ключа. Это позволяет другим (полагающимся сторонам) полагаться на подписи или утверждения, сделанные закрытым ключом, который соответствует сертифицированному открытому ключу.

Центры сертификации

TLS обычно полагается на набор доверенных сторонних центров сертификации для установления подлинности сертификатов. Доверие обычно привязано к списку сертификатов, распространяемых с программным обеспечением пользовательского агента,[42] и может быть изменен проверяющей стороной.

Согласно с Netcraft, который отслеживает активные сертификаты TLS, ведущий центр сертификации (ЦС) Symantec с начала их опроса (или VeriSign до того, как Symantec приобрела бизнес-подразделение служб аутентификации). По данным Netcraft, в 2015 году на долю Symantec приходилось чуть менее трети всех сертификатов и 44% действующих сертификатов, используемых 1 миллионом самых загруженных веб-сайтов.[43] В 2017 году Symantec продала свой бизнес TLS / SSL компании DigiCert.[44] В обновленном отчете было показано, что IdenTrust, DigiCert, и Sectigo входят в тройку ведущих центров сертификации с точки зрения доли рынка с мая 2019 года.[45]

Как следствие выбора X.509 сертификаты, центры сертификации и инфраструктура открытого ключа необходимы для проверки связи между сертификатом и его владельцем, а также для создания, подписи и управления действительностью сертификатов. Хотя это может быть удобнее, чем проверка личности через сеть доверия, то Раскрытие информации о массовых слежках в 2013 году сделали более широко известным, что центры сертификации являются слабым местом с точки зрения безопасности, что позволяет Атаки посредника (MITM), если центр сертификации сотрудничает (или скомпрометирован).[46][47]

Алгоритмы

Обмен ключами или соглашение о ключах

Прежде чем клиент и сервер смогут начать обмен информацией, защищенной TLS, они должны безопасно обменяться или согласовать ключ шифрования и шифр для использования при шифровании данных (см. § Шифр ). Среди методов, используемых для обмена / согласования ключей: открытый и закрытый ключи, созданные с помощью ЮАР (обозначается TLS_RSA в протоколе рукопожатия TLS), Диффи – Хеллмана (TLS_DH), эфемерный Диффи – Хеллмана (TLS_DHE), эллиптическая кривая Диффи – Хеллмана (TLS_ECDH), эфемерная эллиптическая кривая Диффи – Хеллмана (TLS_ECDHE), анонимный Диффи – Хеллман (TLS_DH_anon),[2] предварительный общий ключ (TLS_PSK)[48] и Безопасный удаленный пароль (TLS_SRP).[49]

Методы согласования ключей TLS_DH_anon и TLS_ECDH_anon не аутентифицируют сервер или пользователя и поэтому редко используются, поскольку они уязвимы для Атаки посредника. Только TLS_DHE и TLS_ECDHE предоставляют прямая секретность.

Сертификаты открытых ключей, используемые во время обмена / соглашения, также различаются по размеру открытых / закрытых ключей шифрования, используемых во время обмена, и, следовательно, надежности обеспечиваемой безопасности. В июле 2013 г. Google объявил, что больше не будет использовать 1024-битные открытые ключи и вместо этого переключится на 2048-битные ключи, чтобы повысить безопасность шифрования TLS, которое он предоставляет своим пользователям, поскольку сила шифрования напрямую связана с размер ключа.[4][50]

Обмен ключами / соглашение и аутентификация
АлгоритмSSL 2.0SSL 3.0TLS 1.0TLS 1.1TLS 1.2TLS 1.3Положение дел
ЮАРдададададаНетОпределено для TLS 1.2 в RFC
DH -ЮАРНетдадададаНет
DHE -ЮАР (прямая секретность )Нетдадададада
ECDH -ЮАРНетНетдададаНет
ECDHE -ЮАР (прямая секретность)НетНетдададада
DH -DSSНетдадададаНет
DHE -DSS (прямая секретность)НетдадададаНет[51]
ECDH -ECDSAНетНетдададаНет
ECDHE -ECDSA (прямая секретность)НетНетдададада
ECDH -EdDSAНетНетдададаНет
ECDHE -EdDSA (прямая секретность)[52]НетНетдададада
PSKНетНетдадада
PSK -ЮАРНетНетдадада
DHE -PSK (прямая секретность)НетНетдададада
ECDHE -PSK (прямая секретность)НетНетдададада
SRPНетНетдадада
SRP -DSSНетНетдадада
SRP -ЮАРНетНетдадада
KerberosНетНетдадада
DH -ANON (небезопасно)Нетдададада
ECDH -ANON (небезопасно)НетНетдадада
ГОСТ Р 34.10-94 / 34.10-2001.[53]НетНетдададаПредлагается в проектах RFC

Шифр

Шифр защита от общеизвестных возможных атак
ШифрВерсия протоколаПоложение дел
ТипАлгоритмНоминальная прочность (бит)SSL 2.0SSL 3.0
[n 1][n 2][n 3][n 4]
TLS 1.0
[n 1][n 3]
TLS 1.1
[n 1]
TLS 1.2
[n 1]
TLS 1.3
Блочный шифр
с
режим работы
AES GCM[54][n 5]256, 128Нет данныхНет данныхНет данныхНет данныхБезопасныйБезопасныйОпределено для TLS 1.2 в RFC
AES СКК[55][n 5]Нет данныхНет данныхНет данныхНет данныхБезопасныйБезопасный
AES CBC[n 6]Нет данныхНебезопасныйЗависит от смягченияЗависит от смягченияЗависит от смягченияНет данных
Камелия GCM[56][n 5]256, 128Нет данныхНет данныхНет данныхНет данныхБезопасныйНет данных
Камелия CBC[57][n 6]Нет данныхНебезопасныйЗависит от смягченияЗависит от смягченияЗависит от смягченияНет данных
ARIA GCM[58][n 5]256, 128Нет данныхНет данныхНет данныхНет данныхБезопасныйНет данных
ARIA CBC[58][n 6]Нет данныхНет данныхЗависит от смягченияЗависит от смягченияЗависит от смягченияНет данных
СЕМЕНА CBC[59][n 6]128Нет данныхНебезопасныйЗависит от смягченияЗависит от смягченияЗависит от смягченияНет данных
3DES EDE CBC[n 6][n 7]112[n 8]НебезопасныйНебезопасныйНебезопасныйНебезопасныйНебезопасныйНет данных
ГОСТ 28147-89 CNT[53][n 7]256Нет данныхНет данныхНебезопасныйНебезопасныйНебезопасныйНет данныхОпределено в RFC  4357
ИДЕЯ CBC[n 6][n 7][n 9]128НебезопасныйНебезопасныйНебезопасныйНебезопасныйНет данныхНет данныхУдалено из TLS 1.2
DES CBC[n 6][n 7][n 9]056НебезопасныйНебезопасныйНебезопасныйНебезопасныйНет данныхНет данных
040[n 10]НебезопасныйНебезопасныйНебезопасныйНет данныхНет данныхНет данныхЗапрещено в TLS 1.1 и новее
RC2 CBC[n 6][n 7]040[n 10]НебезопасныйНебезопасныйНебезопасныйНет данныхНет данныхНет данных
Потоковый шифрChaCha20 -Поли1305[64][n 5]256Нет данныхНет данныхНет данныхНет данныхБезопасныйБезопасныйОпределено для TLS 1.2 в RFC
RC4[n 11]128НебезопасныйНебезопасныйНебезопасныйНебезопасныйНебезопасныйНет данныхЗапрещено во всех версиях TLS RFC  7465
040[n 10]НебезопасныйНебезопасныйНебезопасныйНет данныхНет данныхНет данных
НиктоЗначение NULL[n 12]НебезопасныйНебезопасныйНебезопасныйНебезопасныйНебезопасныйНет данныхОпределено для TLS 1.2 в RFC
Примечания
  1. ^ а б c d RFC  5746 должен быть реализован, чтобы исправить ошибку повторного согласования, которая в противном случае нарушила бы этот протокол.
  2. ^ Если библиотеки реализуют исправления, перечисленные в RFC  5746, это нарушает спецификацию SSL 3.0, которую IETF не может изменить, в отличие от TLS. Большинство современных библиотек реализуют исправление и игнорируют нарушение, которое оно вызывает.
  3. ^ а б В ЗВЕРЬ атака ломает все блочные шифры (шифры CBC), используемые в SSL 3.0 и TLS 1.0, если только клиент и / или сервер не смягчают их. Видеть § Веб-браузеры.
  4. ^ В ПУДЕЛЬ атака ломает все блочные шифры (шифры CBC), используемые в SSL 3.0, если только клиент и / или сервер не смягчают их. Видеть § Веб-браузеры.
  5. ^ а б c d е AEAD шифры (например, GCM и СКК ) можно использовать только в TLS 1.2 или новее.
  6. ^ а б c d е ж грамм час Шифры CBC можно атаковать с помощью Счастливая тринадцатая атака если библиотека написана не тщательно, чтобы устранить побочные временные каналы.
  7. ^ а б c d е Атака Sweet32 взламывает блочные шифры с размером блока 64 бита.[60]
  8. ^ Хотя длина ключа 3DES составляет 168 бит, эффективная сила безопасности 3DES составляет всего 112 бит,[61] что ниже рекомендованного минимума 128 бит.[62]
  9. ^ а б IDEA и DES были удалены из TLS 1.2.[63]
  10. ^ а б c Комплекты шифров с 40-битной стойкостью были специально разработаны с уменьшенной длиной ключа, чтобы соответствовать недавно отмененным правилам США, запрещающим экспорт криптографического программного обеспечения, содержащего определенные надежные алгоритмы шифрования (см. Экспорт криптографии из США ). Эти слабые наборы запрещены в TLS 1.1 и более поздних версиях.
  11. ^ Использование RC4 во всех версиях TLS запрещено RFC  7465 (потому что RC4 атаки ослабить или сломать RC4, используемый в SSL / TLS).
  12. ^ Только аутентификация, без шифрования.

Целостность данных

А код аутентификации сообщения (MAC) используется для целостности данных. HMAC используется для CBC режим блочных шифров. Аутентифицированное шифрование (AEAD), например Режим GCM и CCM режим использует MAC-адрес, интегрированный в AEAD, и не использует HMAC.[65] HMAC на основе PRF, или же HKDF используется для рукопожатия TLS.

Целостность данных
АлгоритмSSL 2.0SSL 3.0TLS 1.0TLS 1.1TLS 1.2TLS 1.3Положение дел
HMAC -MD5дададададаНетОпределено для TLS 1.2 в RFC
HMAC -SHA1НетдадададаНет
HMAC -SHA256 / 384НетНетНетНетдаНет
AEADНетНетНетНетдада
ГОСТ 28147-89 ИМИТ[53]НетНетдададаПредлагается в проектах RFC
ГОСТ Р 34.11-94[53]НетНетдадада

Заявки и принятие

При разработке приложений TLS обычно реализуется поверх протоколов транспортного уровня, шифруя все связанные с протоколом данные таких протоколов, как HTTP, FTP, SMTP, NNTP и XMPP.

Исторически TLS использовался в основном с надежными транспортными протоколами, такими как Протокол управления передачей (TCP). Однако он также был реализован с транспортными протоколами, ориентированными на датаграммы, такими как Протокол пользовательских датаграмм (UDP) и Протокол управления перегрузкой дейтаграмм (DCCP), использование которого было стандартизировано независимо с использованием термина Безопасность на транспортном уровне дейтаграмм (DTLS).

Сайты

Основное использование TLS - защита Всемирная паутина движение между интернет сайт и веб-браузер закодирован по протоколу HTTP. Такое использование TLS для защиты HTTP-трафика составляет HTTPS протокол.[66]

Поддержка протокола веб-сайта
Протокол
версия
Интернет сайт
поддержка[67]
Безопасность[67][68]
SSL 2.00.7%Небезопасный
SSL 3.04.4%Небезопасный[69]
TLS 1.052.5%Зависит от шифра[n 1] и клиентские меры по снижению рисков[n 2]
TLS 1.160.6%Зависит от шифра[n 1] и клиентские меры по снижению рисков[n 2]
TLS 1.298.8%Зависит от шифра[n 1] и клиентские меры по снижению рисков[n 2]
TLS 1.337.4%Безопасный
Примечания
  1. ^ а б c видеть § Шифр таблица выше
  2. ^ а б c видеть § Веб-браузеры и § Атаки на TLS / SSL разделы

Веб-браузеры

По состоянию на апрель 2016 г., последние версии всех основных веб-браузеров поддерживают TLS 1.0, 1.1 и 1.2, и по умолчанию они включены. Однако не все поддерживаются Операционные системы Microsoft поддерживает последнюю версию IE. Кроме того, многие операционные системы в настоящее время поддерживают несколько версий IE, но это изменилось в соответствии с Microsoft Часто задаваемые вопросы о политике жизненного цикла поддержки Internet Explorer, "начиная с 12 января 2016 года только самая последняя версия Internet Explorer, доступная для поддерживаемой операционной системы, будет получать техническую поддержку и обновления безопасности". Затем на странице отображается список последних поддерживаемых версий IE на указанную дату для каждой операционной системы. Следующая критическая дата наступит, когда операционная система достигнет стадии окончания жизненного цикла, что в Microsoft Информационный бюллетень о жизненном цикле Windows.

Защиты от известных атак пока недостаточно:

  • Смягчения против ПУДЕЛЬ нападение: некоторые браузеры уже предотвращают откат на SSL 3.0; однако это уменьшение должно поддерживаться не только клиентами, но и серверами. Отключение самого SSL 3.0, реализация «анти-POODLE записи» или запрет шифрования CBC в SSL 3.0 не требуется.
    • Google Chrome: завершено (TLS_FALLBACK_SCSV реализован с версии 33, возврат к SSL 3.0 отключен с версии 39, сам SSL 3.0 отключен по умолчанию с версии 40. Поддержка самого SSL 3.0 была прекращена с версии 44.)
    • Mozilla Firefox: завершено (поддержка самого SSL 3.0 прекращена с версия 39. Сам SSL 3.0 отключен по умолчанию, а возврат к SSL 3.0 отключен, поскольку версия 34 TLS_FALLBACK_SCSV реализован, начиная с версии 35. В ESR сам SSL 3.0 отключен по умолчанию, а TLS_FALLBACK_SCSV реализован, начиная с ESR 31.3.)
    • Internet Explorer: частичный (только в версии 11 SSL 3.0 отключен по умолчанию с апреля 2015 года. Версия 10 и более ранние по-прежнему уязвимы для POODLE.)
    • Опера: complete (TLS_FALLBACK_SCSV реализован начиная с версии 20, «анти-POODLE», которое действует только при реализации на стороне клиента, реализовано с версии 25, сам SSL 3.0 отключен по умолчанию, начиная с версии 27. Поддержка самого SSL 3.0 будет удален с версии 31.)
    • Safari: завершено (только в OS X 10.8 и новее и iOS 8, шифры CBC во время отката к SSL 3.0 запрещены, но это означает, что он будет использовать RC4, что также не рекомендуется. Поддержка самого SSL 3.0 исключена в OS X 10.11 и новее и iOS 9.)
  • Смягчение против RC4 атаки:
    • Google Chrome отключил RC4, кроме как в качестве запасного варианта, начиная с версии 43. RC4 отключен с Chrome 48.
    • Firefox отключил RC4, кроме как в качестве запасного варианта, начиная с версии 36. Firefox 44 отключил RC4 по умолчанию.
    • Opera отключила RC4, кроме как в качестве запасного варианта, начиная с версии 30. RC4 отключен с Opera 35.
    • Internet Explorer для Windows 7 / Server 2008 R2 и для Windows 8 / Server 2012 установил для RC4 самый низкий приоритет и также может отключить RC4, кроме как в качестве отката в настройках реестра. Internet Explorer 11 Mobile 11 для Windows Phone 8.1 отключите RC4, за исключением случаев, когда другой включенный алгоритм не работает. Edge и IE 11 полностью отключают RC4 в августе 2016 года.
  • Смягчение против FREAK атака:
    • Браузер Android, включенный в Android 4.0 и старше по-прежнему уязвимы для атаки FREAK.
    • Internet Explorer 11 Mobile по-прежнему уязвим для атаки FREAK.
    • В Google Chrome, Internet Explorer (для настольных ПК), Safari (для настольных и мобильных устройств) и Opera (для мобильных устройств) предусмотрены средства защиты от FREAK.
    • FREAK не повлиял на Mozilla Firefox на всех платформах и Google Chrome в Windows.
История поддержки TLS / SSL веб-браузерами
БраузерВерсияПлатформыПротоколы SSLПротоколы TLSПоддержка сертификатовИсправлены уязвимости[n 1]Выбор протокола пользователем
[n 2]
SSL 2.0 (небезопасный)SSL 3.0 (небезопасный)TLS 1.0TLS 1.1TLS 1.2TLS 1.3Электромобиль
[n 3][70]
SHA-2
[71]
ECDSA
[72]
ЗВЕРЬ[n 4]ПРЕСТУПЛЕНИЕ[n 5]ПУДЕЛЬ (SSLv3)[n 6]RC4[n 7]FREAK[73][74]Затор
Гугл Хром
(Chrome для Android )
[n 8]
[n 9]
1–9Windows(7+)
macOS(10.10+)
Linux
Android(5.0+)
iOS(12.2+)
Chrome OS
По умолчанию отключеноВключено по умолчаниюдаНетНетНетда
(только рабочий стол)
требуется SHA-2-совместимая ОС[71]требуется ОС, совместимая с ECC[72]Не пострадал
[79]
Уязвимый
(HTTPS)
УязвимыйУязвимыйУязвимый
(кроме Windows)
Уязвимыйда[n 10]
10–20Нет[80]Включено по умолчаниюдаНетНетНетда
(только рабочий стол)
требуется SHA-2-совместимая ОС[71]требуется ОС, совместимая с ECC[72]Не пострадалУязвимый
(HTTPS / SPDY)
УязвимыйУязвимыйУязвимый
(кроме Windows)
Уязвимыйда[n 10]
21НетВключено по умолчаниюдаНетНетНетда
(только рабочий стол)
требуется SHA-2-совместимая ОС[71]требуется ОС, совместимая с ECC[72]Не пострадалСмягчено
[81]
УязвимыйУязвимыйУязвимый
(кроме Windows)
Уязвимыйда[n 10]
22–29НетВключено по умолчаниюдада[82]Нет[82][83][84][85]Нетда
(только рабочий стол)
требуется SHA-2-совместимая ОС[71]требуется ОС, совместимая с ECC[72]Не пострадалСмягченоУязвимыйУязвимыйУязвимый
(кроме Windows)
УязвимыйВременный
[n 11]
30–32НетВключено по умолчаниюдадаДа[83][84][85]Нетда
(только рабочий стол)
требуется SHA-2-совместимая ОС[71]требуется ОС, совместимая с ECC[72]Не пострадалСмягченоУязвимыйУязвимыйУязвимый
(кроме Windows)
УязвимыйВременный
[n 11]
33–37НетВключено по умолчаниюдададаНетда
(только рабочий стол)
требуется SHA-2-совместимая ОС[71]требуется ОС, совместимая с ECC[72]Не пострадалСмягченоЧастично смягчено
[n 12]
Самый низкий приоритет
[88][89][90]
Уязвимый
(кроме Windows)
УязвимыйВременный
[n 11]
38, 39НетВключено по умолчаниюдададаНетда
(только рабочий стол)
датребуется ОС, совместимая с ECC[72]Не пострадалСмягченоЧастично смягченоСамый низкий приоритетУязвимый
(кроме Windows)
УязвимыйВременный
[n 11]
40НетПо умолчанию отключено[87][91]дададаНетда
(только рабочий стол)
датребуется ОС, совместимая с ECC[72]Не пострадалСмягченоСмягчено
[n 13]
Самый низкий приоритетУязвимый
(кроме Windows)
Уязвимыйда[n 14]
41, 42НетПо умолчанию отключенодададаНетда
(только рабочий стол)
датребуется ОС, совместимая с ECC[72]Не пострадалСмягченоСмягченоСамый низкий приоритетСмягченоУязвимыйда[n 14]
43НетПо умолчанию отключенодададаНетда
(только рабочий стол)
датребуется ОС, совместимая с ECC[72]Не пострадалСмягченоСмягченоТолько как запасной вариант
[n 15][92]
СмягченоУязвимыйда[n 14]
44–47НетНет[93]дададаНетда
(только рабочий стол)
датребуется ОС, совместимая с ECC[72]Не пострадалСмягченоНе пострадалТолько как запасной вариант
[n 15]
СмягченоСмягчено[94]Временный
[n 11]
48, 49НетНетдададаНетда
(только рабочий стол)
датребуется ОС, совместимая с ECC[72]Не пострадалСмягченоНе пострадалПо умолчанию отключено[n 16][95][96]СмягченоСмягченоВременный
[n 11]
50–53НетНетдададаНетда
(только рабочий стол)
дадаНе пострадалСмягченоНе пострадалПо умолчанию отключено[n 16][95][96]СмягченоСмягченоВременный
[n 11]
54–66НетНетдададаПо умолчанию отключено
(черновая версия)
да
(только рабочий стол)
дадаНе пострадалСмягченоНе пострадалПо умолчанию отключено[n 16][95][96]СмягченоСмягченоВременный
[n 11]
67–69НетНетдададада
(черновая версия)
да
(только рабочий стол)
дадаНе пострадалСмягченоНе пострадалПо умолчанию отключено[n 16][95][96]СмягченоСмягченоВременный
[n 11]
70–83НетНетдадададада
(только рабочий стол)
дадаНе пострадалСмягченоНе пострадалПо умолчанию отключено[n 16][95][96]СмягченоСмягченоВременный
[n 11]
84–8687НетНетПредупреждать по умолчаниюПредупреждать по умолчаниюдадада
(только рабочий стол)
дадаНе пострадалСмягченоНе пострадалПо умолчанию отключено[n 16][95][96]СмягченоСмягченоВременный
[n 11]
БраузерВерсияПлатформыSSL 2.0 (небезопасный)SSL 3.0 (небезопасный)TLS 1.0TLS 1.1TLS 1.2TLS 1.3Сертификат электромобиляСертификат SHA-2Сертификат ECDSAЗВЕРЬПРЕСТУПЛЕНИЕПУДЕЛЬ (SSLv3)RC4FREAKЗаторВыбор протокола пользователем
Microsoft Edge
(На основе хрома)
Независимая от ОС
79–83Windows(7+)
macOS(10.12+)
Linux
Android(4.4+)
iOS(11.0+)
НетНетдададададададаСмягченоНе пострадалНе пострадалПо умолчанию отключеноСмягченоСмягченода[n 10]
84–8687НетНетПредупреждать по умолчаниюПредупреждать по умолчаниюдададададаСмягченоНе пострадалНе пострадалПо умолчанию отключеноСмягченоСмягченода[n 10]
88[97]НетНетНетНетдададададаСмягченоНе пострадалНе пострадалПо умолчанию отключеноСмягченоСмягченода[n 10]
БраузерВерсияПлатформыSSL 2.0 (небезопасный)SSL 3.0 (небезопасный)TLS 1.0TLS 1.1TLS 1.2TLS 1.3Сертификат электромобиляСертификат SHA-2Сертификат ECDSAЗВЕРЬПРЕСТУПЛЕНИЕПУДЕЛЬ (SSLv3)RC4FREAKЗаторВыбор протокола пользователем
Mozilla Firefox
(Firefox для мобильных устройств )
[n 17]
1.0, 1.5Windows(7+)
macOS(10.12+)
Linux
Android(5.0+)
iOS (11.4+)
ОС Firefox
Maemo

СОЭ только для:
Windows(7+)
macOS(10.9+)
Linux
Включено по умолчанию
[98]
Включено по умолчанию
[98]
да[98]НетНетНетНетда[71]НетНе пострадал
[99]
Не пострадалУязвимыйУязвимыйНе пострадалУязвимыйда[n 10]
2По умолчанию отключено
[98][100]
Включено по умолчаниюдаНетНетНетНетдада[72]Не пострадалНе пострадалУязвимыйУязвимыйНе пострадалУязвимыйда[n 10]
3–7По умолчанию отключеноВключено по умолчаниюдаНетНетНетдададаНе пострадалНе пострадалУязвимыйУязвимыйНе пострадалУязвимыйда[n 10]
8–10
СОЭ 10
Нет[100]Включено по умолчаниюдаНетНетНетдададаНе пострадалНе пострадалУязвимыйУязвимыйНе пострадалУязвимыйда[n 10]
11–14НетВключено по умолчаниюдаНетНетНетдададаНе пострадалУязвимый
(SPDY)[81]
УязвимыйУязвимыйНе пострадалУязвимыйда[n 10]
15–22
СОЭ 17.0–17.0.10
НетВключено по умолчаниюдаНетНетНетдададаНе пострадалСмягченоУязвимыйУязвимыйНе пострадалУязвимыйда[n 10]
СОЭ 17.0.11НетВключено по умолчаниюдаНетНетНетдададаНе пострадалСмягченоУязвимыйСамый низкий приоритет
[101][102]
Не пострадалУязвимыйда[n 10]
23НетВключено по умолчаниюдаПо умолчанию отключено
[103]
НетНетдададаНе пострадалСмягченоУязвимыйУязвимыйНе пострадалУязвимыйда[n 18]
24, 25.0.0
СОЭ 24,0–24,1,0
НетВключено по умолчаниюдаПо умолчанию отключеноПо умолчанию отключено
[104]
НетдададаНе пострадалСмягченоУязвимыйУязвимыйНе пострадалУязвимыйда[n 18]
25.0.1, 26
СОЭ 24.1.1
НетВключено по умолчаниюдаПо умолчанию отключеноПо умолчанию отключеноНетдададаНе пострадалСмягченоУязвимыйСамый низкий приоритет
[101][102]
Не пострадалУязвимыйда[n 18]
27–33
СОЭ 31,0–31,2
НетВключено по умолчаниюдаДа[105][106]Да[107][106]НетдададаНе пострадалСмягченоУязвимыйСамый низкий приоритетНе пострадалУязвимыйда[n 18]
34, 35
СОЭ 31,3–31,7
НетПо умолчанию отключено
[108][109]
дададаНетдададаНе пострадалСмягченоСмягчено
[n 19]
Самый низкий приоритетНе пострадалУязвимыйда[n 18]
СОЭ 31,8НетПо умолчанию отключенодададаНетдададаНе пострадалСмягченоСмягченоСамый низкий приоритетНе пострадалСмягчено[112]да[n 18]
36–38
СОЭ 38,0
НетПо умолчанию отключенодададаНетдададаНе пострадалСмягченоСмягченоТолько как запасной вариант
[n 15][113]
Не пострадалУязвимыйда[n 18]
СОЭ 38,1–38,8НетПо умолчанию отключенодададаНетдададаНе пострадалСмягченоСмягченоТолько как запасной вариант
[n 15]
Не пострадалСмягчено[112]да[n 18]
39–43НетНет[114]дададаНетдададаНе пострадалСмягченоНе пострадалТолько как запасной вариант
[n 15]
Не пострадалСмягчено[112]да[n 18]
44–48
СОЭ 45
НетНетдададаНетдададаНе пострадалСмягченоНе пострадалПо умолчанию отключено[n 16][115][116][117][118]Не пострадалСмягченода[n 18]
49–59
СОЭ 52
НетНетдададаПо умолчанию отключено
(черновая версия)[119]
дададаНе пострадалСмягченоНе пострадалПо умолчанию отключено[n 16]Не пострадалСмягченода[n 18]
60–62
СОЭ 60
НетНетдададада
(черновая версия)
дададаНе пострадалСмягченоНе пострадалПо умолчанию отключено[n 16]Не пострадалСмягченода[n 18]
63–77
СОЭ 68
НетНетдададададададаНе пострадалСмягченоНе пострадалПо умолчанию отключено[n 16]Не пострадалСмягченода[n 18]
78–82
СОЭ 78,0–78,4
НетНетПо умолчанию отключено[120]По умолчанию отключено[120]дададададаНе пострадалСмягченоНе пострадалПо умолчанию отключено[n 16]Не пострадалСмягченода[n 18]
СОЭ 78,583
БраузерВерсияПлатформыSSL 2.0 (небезопасный)SSL 3.0 (небезопасный)TLS 1.0TLS 1.1TLS 1.2TLS 1.3Сертификат электромобиляСертификат SHA-2Сертификат ECDSAЗВЕРЬПРЕСТУПЛЕНИЕПУДЕЛЬ (SSLv3)RC4FREAKЗаторВыбор протокола пользователем
Браузер Opera
(Opera Mobile )
(Pre-Presto и Presto )
[n 20]
1–2Windows
macOS
Linux
Android
Symbian S60
Maemo
Windows Mobile
Нет поддержки SSL / TLS[122]
3да[123]НетНетНетНетНетНетНетНетНет поддержки SSL 3.0 или TLSУязвимыйНеизвестноНеизвестноНет данных
4дада[124]НетНетНетНетНетНетНетУязвимыйНе пострадалУязвимыйУязвимыйНеизвестноНеизвестноНеизвестно
5Включено по умолчаниюВключено по умолчаниюда[125]НетНетНетНетНетНетУязвимыйНе пострадалУязвимыйУязвимыйНеизвестноНеизвестнода[n 10]
6–7Включено по умолчаниюВключено по умолчаниюда[125]НетНетНетНетда[71]НетУязвимыйНе пострадалУязвимыйУязвимыйНеизвестноНеизвестнода[n 10]
8Включено по умолчаниюВключено по умолчаниюдаПо умолчанию отключено
[126]
НетНетНетдаНетУязвимыйНе пострадалУязвимыйУязвимыйНеизвестноНеизвестнода[n 10]
9По умолчанию отключено
[127]
Включено по умолчаниюдадаНетНетс v9.5
(только рабочий стол)
даНетУязвимыйНе пострадалУязвимыйУязвимыйНеизвестноНеизвестнода[n 10]
10–11.52Нет[128]Включено по умолчаниюдаПо умолчанию отключеноПо умолчанию отключено
[128]
Нетда
(только рабочий стол)
даНетУязвимыйНе пострадалУязвимыйУязвимыйНеизвестноНеизвестнода[n 10]
11.60–11.64НетВключено по умолчаниюдаПо умолчанию отключеноПо умолчанию отключеноНетда
(только рабочий стол)
даНетСмягчено
[129]
Не пострадалУязвимыйУязвимыйНеизвестноНеизвестнода[n 10]
12–12.14НетПо умолчанию отключено
[n 21]
даПо умолчанию отключеноПо умолчанию отключеноНетда
(только рабочий стол)
даНетСмягченоНе пострадалСмягчено
[n 21]
УязвимыйНеизвестноСмягчено[131]да[n 10]
12.15–12.17НетПо умолчанию отключенодаПо умолчанию отключеноПо умолчанию отключеноНетда
(только рабочий стол)
даНетСмягченоНе пострадалСмягченоЧастично смягчено
[132][133]
НеизвестноСмягчено[131]да[n 10]
12.18НетПо умолчанию отключенодада[134]да[134]Нетда
(только рабочий стол)
дада[134]СмягченоНе пострадалСмягченоПо умолчанию отключено[n 16][134]Смягчено[134]Смягчено[131]да[n 10]
БраузерВерсияПлатформыSSL 2.0 (небезопасный)SSL 3.0 (небезопасный)TLS 1.0TLS 1.1TLS 1.2TLS 1.3Сертификат электромобиляСертификат SHA-2Сертификат ECDSAЗВЕРЬПРЕСТУПЛЕНИЕПУДЕЛЬ (SSLv3)RC4FREAKЗаторВыбор протокола пользователем
Браузер Opera
(Opera Mobile )
(Webkit и Мигать )
[n 22]
14–16Windows(7+)
macOS(10.11+)
Linux
Android(4.4+)
НетВключено по умолчаниюдада[137]Нет[137]Нетда
(только рабочий стол)
требуется SHA-2-совместимая ОС[71]требуется ОС, совместимая с ECC[72]Не пострадалСмягченоУязвимыйУязвимыйУязвимый
(кроме Windows)
УязвимыйВременный
[n 11]
17–19НетВключено по умолчаниюдада[138]да[138]Нетда
(только рабочий стол)
требуется SHA-2-совместимая ОС[71]требуется ОС, совместимая с ECC[72]Не пострадалСмягченоУязвимыйУязвимыйУязвимый
(кроме Windows)
УязвимыйВременный
[n 11]
20–24НетВключено по умолчаниюдададаНетда
(только рабочий стол)
требуется SHA-2-совместимая ОС[71]требуется ОС, совместимая с ECC[72]Не пострадалСмягченоЧастично смягчено
[п 23]
Самый низкий приоритет
[139]
Уязвимый
(кроме Windows)
УязвимыйВременный
[n 11]
25, 26НетВключено по умолчанию
[n 24]
дададаНетда
(только рабочий стол)
датребуется ОС, совместимая с ECC[72]Не пострадалСмягченоСмягчено
[n 25]
Самый низкий приоритетУязвимый
(кроме Windows)
УязвимыйВременный
[n 11]
27НетПо умолчанию отключено
[91]
дададаНетда
(только рабочий стол)
датребуется ОС, совместимая с ECC[72]Не пострадалСмягченоСмягчено
[n 26]
Самый низкий приоритетУязвимый
(кроме Windows)
Уязвимыйда[n 27]
(только рабочий стол)
28, 29НетПо умолчанию отключенодададаНетда
(только рабочий стол)
датребуется ОС, совместимая с ECC[72]Не пострадалСмягченоСмягченоСамый низкий приоритетСмягченоУязвимыйда[n 27]
(только рабочий стол)
30НетПо умолчанию отключенодададаНетда
(только рабочий стол)
датребуется ОС, совместимая с ECC[72]Не пострадалСмягченоСмягченоТолько как запасной вариант
[n 15][92]
СмягченоСмягчено[131]да[n 27]
(только рабочий стол)
31–34НетНет[93]дададаНетда
(только рабочий стол)
датребуется ОС, совместимая с ECC[72]Не пострадалСмягченоНе пострадалТолько как запасной вариант
[n 15][92]
СмягченоСмягченоВременный
[n 11]
35, 36НетНетдададаНетда
(только рабочий стол)
датребуется ОС, совместимая с ECC[72]Не пострадалСмягченоНе пострадалПо умолчанию отключено[n 16][95][96]СмягченоСмягченоВременный
[n 11]
37–40НетНетдададаНетда
(только рабочий стол)
дадаНе пострадалСмягченоНе пострадалПо умолчанию отключено[n 16][95][96]СмягченоСмягченоВременный
[n 11]
41–56НетНетдададаПо умолчанию отключено
(черновая версия)
да
(только рабочий стол)
дадаНе пострадалСмягченоНе пострадалПо умолчанию отключено[n 16][95][96]СмягченоСмягченоВременный
[n 11]
57–7172НетНетдадададада
(только рабочий стол)
дадаНе пострадалСмягченоНе пострадалПо умолчанию отключено[n 16][95][96]СмягченоСмягченоВременный
[n 11]
БраузерВерсияПлатформыSSL 2.0 (небезопасный)SSL 3.0 (небезопасный)TLS 1.0TLS 1.1TLS 1.2TLS 1.3Сертификат электромобиляСертификат SHA-2Сертификат ECDSAЗВЕРЬПРЕСТУПЛЕНИЕПУДЕЛЬ (SSLv3)RC4FREAKЗаторВыбор протокола пользователем
Microsoft Internet Explorer
(1–10)
[n 28]
1.xWindows 3.1, 95, NT,[n 29][n 30]
Mac OS 7, 8
Нет поддержки SSL / TLS
2даНетНетНетНетНетНетНетНетНет поддержки SSL 3.0 или TLSУязвимыйУязвимыйУязвимыйНет данных
3дада[142]НетНетНетНетНетНетНетУязвимыйНе пострадалУязвимыйУязвимыйУязвимыйУязвимыйНеизвестно
4, 5, 6Windows 3.1, 95, 98, NT, 2000[n 29][n 30]
Mac OS 7.1, 8, Икс,
Солярис, HP-UX
Включено по умолчаниюВключено по умолчаниюПо умолчанию отключено
[142]
НетНетНетНетНетНетУязвимыйНе пострадалУязвимыйУязвимыйУязвимыйУязвимыйда[n 10]
6Windows XP[n 30]Включено по умолчаниюВключено по умолчаниюПо умолчанию отключеноНетНетНетНетда
[n 31][143]
НетСмягченоНе пострадалУязвимыйУязвимыйУязвимыйУязвимыйда[n 10]
7, 8По умолчанию отключено
[144]
Включено по умолчаниюда[144]НетНетНетдада
[n 31][143]
НетСмягченоНе пострадалУязвимыйУязвимыйУязвимыйУязвимыйда[n 10]
6Сервер 2003[n 30]Включено по умолчаниюВключено по умолчаниюПо умолчанию отключеноНетНетНетНетда
[n 31][143]
НетСмягченоНе пострадалУязвимыйУязвимыйСмягчено
[147]
Смягчено
[148]
да[n 10]
7, 8По умолчанию отключено
[144]
Включено по умолчаниюда[144]НетНетНетдада
[n 31][143]
НетСмягченоНе пострадалУязвимыйУязвимыйСмягчено
[147]
Смягчено
[148]
да[n 10]
7, 8, 9Виндоус вистаПо умолчанию отключеноВключено по умолчаниюдаНетНетНетдадада[72]СмягченоНе пострадалУязвимыйУязвимыйСмягчено
[147]
Смягчено
[148]
да[n 10]
7, 8, 9Сервер 2008По умолчанию отключеноВключено по умолчаниюдаПо умолчанию отключено[149]
(KB4019276)
По умолчанию отключено[149]
(KB4019276)
Нетдадада[72]СмягченоНе пострадалУязвимыйУязвимыйСмягчено
[147]
Смягчено
[148]
да[n 10]
8, 9, 10Windows 7 / 8
Сервер 2008 R2 / 2012
По умолчанию отключеноВключено по умолчаниюдаПо умолчанию отключено
[150]
По умолчанию отключено
[150]
НетдададаСмягченоНе пострадалУязвимыйСамый низкий приоритет
[151][n 32]
Смягчено
[147]
Смягчено
[148]
да[n 10]
Internet Explorer 11
[n 28]
11Windows 7
Сервер 2008 R2
По умолчанию отключеноПо умолчанию отключено
[n 33]
дада[153]да[153]НетдададаСмягченоНе пострадалСмягчено
[n 33]
По умолчанию отключено[157]Смягчено
[147]
Смягчено
[148]
да[n 10]
11[158]Windows 8.1По умолчанию отключеноПо умолчанию отключено
[n 33]
дада[153]да[153]НетдададаСмягченоНе пострадалСмягчено
[n 33]
По умолчанию отключено[n 16]Смягчено
[147]
Смягчено
[148]
да[n 10]
Сервер 2012
Сервер 2012 R2
БраузерВерсияПлатформыSSL 2.0 (небезопасный)SSL 3.0 (небезопасный)TLS 1.0TLS 1.1TLS 1.2TLS 1.3Сертификат электромобиляСертификат SHA-2Сертификат ECDSAЗВЕРЬПРЕСТУПЛЕНИЕПУДЕЛЬ (SSLv3)RC4FREAKЗаторВыбор протокола пользователем
Microsoft Edge
(12–18)
(На основе EdgeHTML)
Только клиент


Internet Explorer 11
[n 28]
1112–13Windows 10
1507–1511
По умолчанию отключеноПо умолчанию отключенодададаНетдададаСмягченоНе пострадалСмягченоПо умолчанию отключено[n 16]СмягченоСмягченода[n 10]
1114–18
(только клиент)
Windows 10
1607–1809
Windows Server (SAC)
1709–1809
Нет[159]По умолчанию отключенодададаНетдададаСмягченоНе пострадалСмягченоПо умолчанию отключено[n 16]СмягченоСмягченода[n 10]
1118
(только клиент)
Windows 10
1903
Windows Server (SAC)
1903
НетПо умолчанию отключенодададаНетдададаСмягченоНе пострадалСмягченоПо умолчанию отключено[n 16]СмягченоСмягченода[n 10]
1118
(только клиент)
Windows 10
1909
Windows Server (SAC)
1909
НетПо умолчанию отключенодададаНетдададаСмягченоНе пострадалСмягченоПо умолчанию отключено[n 16]СмягченоСмягченода[n 10]
1118
(только клиент)
Windows 10
2004
Windows Server (SAC)
2004
НетПо умолчанию отключенодададаНетдададаСмягченоНе пострадалСмягченоПо умолчанию отключено[n 16]СмягченоСмягченода[n 10]
Internet Explorer 11
[n 28]
11Windows 10
20H2
Windows Server (SAC) 20H2
НетПо умолчанию отключенодададаНетдададаСмягченоНе пострадалСмягченоПо умолчанию отключено[n 16]СмягченоСмягченода[n 10]
11Windows 10
21Hx
Windows Server (SAC) 21Hx
НетПо умолчанию отключенодададаВключено по умолчанию
(экспериментальный)
начиная с Dev 10.0.20170
[160]
дададаСмягченоНе пострадалСмягченоПо умолчанию отключено[n 16]СмягченоСмягченода[n 10]
Internet Explorer 11
[n 28]
11Windows 10
LTSB 2015 (1507)
По умолчанию отключеноПо умолчанию отключенодададаНетдададаСмягченоНе пострадалСмягченоПо умолчанию отключено[n 16]СмягченоСмягченода[n 10]
11Windows 10
LTSB 2016 (1607)
Нет[159]По умолчанию отключенодададаНетдададаСмягченоНе пострадалСмягченоПо умолчанию отключено[n 16]СмягченоСмягченода[n 10]
11Windows Server 2016
(LTSB / 1607)
Нет[159]По умолчанию отключенодададаНетдададаСмягченоНе пострадалСмягченоПо умолчанию отключено[n 16]СмягченоСмягченода[n 10]
11Windows 10
LTSC 2019 (1809)
Windows Server 2019
(LTSC / 1809)
НетПо умолчанию отключенодададаНетдададаСмягченоНе пострадалСмягченоПо умолчанию отключено[n 16]СмягченоСмягченода[n 10]
БраузерВерсияПлатформыSSL 2.0 (небезопасный)SSL 3.0 (небезопасный)TLS 1.0TLS 1.1TLS 1.2TLS 1.3Сертификат электромобиляСертификат SHA-2Сертификат ECDSAЗВЕРЬПРЕСТУПЛЕНИЕПУДЕЛЬ (SSLv3)RC4FREAKЗаторВыбор протокола пользователем
Microsoft Internet Explorer Mobile
[n 28]
7, 9Windows Phone 7, 7.5, 7.8По умолчанию отключено
[144]
Включено по умолчаниюдаНет
[нужна цитата ]
Нет
[нужна цитата ]
НетНет
[нужна цитата ]
дада[161]НеизвестноНе пострадалУязвимыйУязвимыйУязвимыйУязвимыйТолько со сторонними инструментами[n 34]
10Windows Phone 8По умолчанию отключеноВключено по умолчаниюдаПо умолчанию отключено
[163]
По умолчанию отключено
[163]
НетНет
[нужна цитата ]
дада[164]СмягченоНе пострадалУязвимыйУязвимыйУязвимыйУязвимыйТолько со сторонними инструментами[n 34]
11Windows Phone 8.1По умолчанию отключеноВключено по умолчаниюдада[165]да[165]НетНет
[нужна цитата ]
дадаСмягченоНе пострадалУязвимыйТолько как запасной вариант
[n 15][166][167]
УязвимыйУязвимыйТолько со сторонними инструментами[n 34]
Microsoft Edge
(13–15)
(На основе EdgeHTML)
[n 35]
13Windows 10 Mobile
1511
По умолчанию отключеноПо умолчанию отключенодададаНетдададаСмягченоНе пострадалСмягченоПо умолчанию отключено[n 16]СмягченоСмягченоНет
14, 15Windows 10 Mobile
1607–1709
Нет[159]По умолчанию отключенодададаНетдададаСмягченоНе пострадалСмягченоПо умолчанию отключено[n 16]СмягченоСмягченоНет
БраузерВерсияПлатформыSSL 2.0 (небезопасный)SSL 3.0 (небезопасный)TLS 1.0TLS 1.1TLS 1.2TLS 1.3Сертификат электромобиляСертификат SHA-2Сертификат ECDSAЗВЕРЬПРЕСТУПЛЕНИЕПУДЕЛЬ (SSLv3)RC4FREAKЗаторВыбор протокола пользователем
Apple Safari
[n 36]
1Mac OS X 10.2, 10.3Нет[172]дадаНетНетНетНетНетНетУязвимыйНе пострадалУязвимыйУязвимыйУязвимыйУязвимыйНет
2–5Mac OS X 10.4, 10.5, Win XPНетдадаНетНетНетначиная с v3.2НетНетУязвимыйНе пострадалУязвимыйУязвимыйУязвимыйУязвимыйНет
3–5Vista, Победа 7НетдадаНетНетНетначиная с v3.2Нетда[161]УязвимыйНе пострадалУязвимыйУязвимыйУязвимыйУязвимыйНет
4–6Mac OS X 10.6, 10.7НетдадаНетНетНетдада[71]да[72]УязвимыйНе пострадалУязвимыйУязвимыйУязвимыйУязвимыйНет
6OS X 10.8НетдадаНетНетНетдадада[72]Смягчено
[n 37]
Не пострадалСмягчено
[n 38]
Уязвимый
[n 38]
Смягчено
[178]
УязвимыйНет
7, 9OS X 10.9Нетдадада[179]да[179]НетдададаСмягчено
[174]
Не пострадалСмягчено
[n 38]
Уязвимый
[n 38]
Смягчено
[178]
УязвимыйНет
8–10OS X 10.10НетдадададаНетдададаСмягченоНе пострадалСмягчено
[n 38]
Самый низкий приоритет
[180][n 38]
Смягчено
[178]
Смягчено
[181]
Нет
9–11OS X 10.11НетНетдададаНетдададаСмягченоНе пострадалНе пострадалСамый низкий приоритетСмягченоСмягченоНет
10–12macOS 10.12НетНетдададаНетдададаСмягченоНе пострадалНе пострадалПо умолчанию отключено[n 16]СмягченоСмягченоНет
10–13macOS 10.13НетНетдададаНетдададаСмягченоНе пострадалНе пострадалПо умолчанию отключено[n 16]СмягченоСмягченоНет
12, 1314macOS 10.14НетНетдададада (начиная с macOS 10.14.4)[182]дададаСмягченоНе пострадалНе пострадалПо умолчанию отключено[n 16]СмягченоСмягченоНет
1314macOS 10.15НетНетдададададададаСмягченоНе пострадалНе пострадалПо умолчанию отключено[n 16]СмягченоСмягченоНет
14macOS 11.0НетНетдададададададаСмягченоНе пострадалНе пострадалПо умолчанию отключено[n 16]СмягченоСмягченоНет
БраузерВерсияПлатформыSSL 2.0 (небезопасный)SSL 3.0 (небезопасный)TLS 1.0TLS 1.1TLS 1.2TLS 1.3Сертификат электромобиляСертификат SHA-2Сертификат ECDSAЗВЕРЬПРЕСТУПЛЕНИЕПУДЕЛЬ (SSLv3)RC4FREAKЗаторВыбор протокола пользователем
Apple Safari
(мобильный)
[n 39]
3iPhone OS 1, 2Нет[186]дадаНетНетНетНетНетНетУязвимыйНе пострадалУязвимыйУязвимыйУязвимыйУязвимыйНет
4, 5iPhone OS 3, iOS 4НетдадаНетНетНетда[187]даначиная с iOS 4[161]УязвимыйНе пострадалУязвимыйУязвимыйУязвимыйУязвимыйНет
5, 6iOS 5, 6Нетдадада[183]да[183]НетдададаУязвимыйНе пострадалУязвимыйУязвимыйУязвимыйУязвимыйНет
7IOS 7НетдадададаНетдадада[188]Смягчено
[189]
Не пострадалУязвимыйУязвимыйУязвимыйУязвимыйНет
8iOS 8НетдадададаНетдададаСмягченоНе пострадалСмягчено
[n 38]
Самый низкий приоритет
[190][n 38]
Смягчено
[191]
Смягчено
[192]
Нет
9iOS 9НетНетдададаНетдададаСмягченоНе пострадалНе пострадалСамый низкий приоритетСмягченоСмягченоНет
10–11iOS 10, 11НетНетдададаНетдададаСмягченоНе пострадалНе пострадалПо умолчанию отключено[n 16]СмягченоСмягченоНет
12iOS 12НетНетдададада (начиная с iOS 12.2)[182]дададаСмягченоНе пострадалНе пострадалПо умолчанию отключено[n 16]СмягченоСмягченоНет
13iOS 13НетНетдададададададаСмягченоНе пострадалНе пострадалПо умолчанию отключено[n 16]СмягченоСмягченоНет
iPadOS 13
14iOS 14НетНетдададададададаСмягченоНе пострадалНе пострадалПо умолчанию отключено[n 16]СмягченоСмягченоНет
iPadOS 14
БраузерВерсияПлатформыSSL 2.0 (небезопасный)SSL 3.0 (небезопасный)TLS 1.0TLS 1.1TLS 1.2TLS 1.3Электромобиль
[n 3]
SHA-2ECDSAЗВЕРЬ[n 4]ПРЕСТУПЛЕНИЕ[n 5]ПУДЕЛЬ (SSLv3)[n 6]RC4[n 7]FREAK[73][74]ЗаторВыбор протокола пользователем
Протоколы SSLПротоколы TLSПоддержка сертификатовИсправлены уязвимости
ОС Google Android
[193]
Android 1.0–4.0.4НетВключено по умолчаниюдаНетНетНетНеизвестнода[71]с 3.0[161][72]НеизвестноНеизвестноУязвимыйУязвимыйУязвимыйУязвимыйНет
Android 4.1–4.4.4НетВключено по умолчаниюдаПо умолчанию отключено[194]По умолчанию отключено[194]НетНеизвестнодадаНеизвестноНеизвестноУязвимыйУязвимыйУязвимыйУязвимыйНет
Android 5.0–5.0.2НетВключено по умолчаниюдада[194][195]да[194][195]НетНеизвестнодадаНеизвестноНеизвестноУязвимыйУязвимыйУязвимыйУязвимыйНет
Android 5.1–5.1.1НетПо умолчанию отключено
[нужна цитата ]
дададаНетНеизвестнодадаНеизвестноНеизвестноНе пострадалТолько как запасной вариант
[n 15]
СмягченоСмягченоНет
Android 6.07.1.2НетПо умолчанию отключено
[нужна цитата ]
дададаНетНеизвестнодадаНеизвестноНеизвестноНе пострадалПо умолчанию отключеноСмягченоСмягченоНет
Android 8.09.0НетНет
[196]
дададаНетНеизвестнодадаНеизвестноНеизвестноНе пострадалПо умолчанию отключеноСмягченоСмягченоНет
Android 10.0НетНетдадададаНеизвестнодадаНеизвестноНеизвестноНе пострадалПо умолчанию отключеноСмягченоСмягченоНет
Android 11.0НетНетдадададаНеизвестнодадаНеизвестноНеизвестноНе пострадалПо умолчанию отключеноСмягченоСмягченоНет
БраузерВерсияПлатформыSSL 2.0 (небезопасный)SSL 3.0 (небезопасный)TLS 1.0TLS 1.1TLS 1.2TLS 1.3Сертификат электромобиляСертификат SHA-2Сертификат ECDSAЗВЕРЬПРЕСТУПЛЕНИЕПУДЕЛЬ (SSLv3)RC4FREAKЗаторВыбор протокола пользователем
Цвет или ПримечаниеЗначимость
Версия браузераПлатформа
Версия браузераОперационная системаБудущий выпуск; в разработке
Версия браузераОперационная системаТекущая последняя версия
Версия браузераОперационная системаБывший выпуск; все еще поддерживается
Версия браузераОперационная системаБывший выпуск; долгосрочная поддержка все еще активна, но закончится менее чем через 12 месяцев
Версия браузераОперационная системаБывший выпуск; больше не поддерживается
н / дОперационная системаСмешанный / Не указано
Операционная система (Версия +)Минимально необходимая версия операционной системы (для поддерживаемых версий браузера)
Операционная системаБольше не поддерживается для этой операционной системы
Примечания
  1. ^ Есть ли в браузере средства защиты от известных атак или он не уязвим. Обратите внимание, что фактическая безопасность зависит от других факторов, таких как согласованный шифр, надежность шифрования и т. Д. (См. § Шифр стол).
  2. ^ Может ли пользователь или администратор выбирать протоколы для использования или нет. Если да, можно избежать нескольких атак, таких как BEAST (уязвим в SSL 3.0 и TLS 1.0) или POODLE (уязвим в SSL 3.0).
  3. ^ а б Можно ли различить EV SSL и DV SSL (обычный SSL) по индикаторам (зеленый значок замка, зеленая адресная строка и т. Д.) Или нет.
  4. ^ а б например Разделение записи 1 / n-1.
  5. ^ а б например Отключение сжатия заголовков в HTTPS / SPDY.
  6. ^ а б
    • Полное смягчение последствий; отключение самого SSL 3.0, «разделение записей анти-POODLE». «Разделение записей Anti-POODLE» эффективно только при реализации на стороне клиента и действует в соответствии со спецификацией SSL 3.0, однако оно также может вызвать проблемы совместимости из-за проблем в реализациях на стороне сервера.
    • Частичное смягчение; отключение отката к SSL 3.0, TLS_FALLBACK_SCSV, отключение наборов шифров с помощью CBC режим работы. Если сервер также поддерживает TLS_FALLBACK_SCSV, атака POODLE не удастся против этой комбинации сервера и браузера, но соединения, где сервер не поддерживает TLS_FALLBACK_SCSV и поддерживает SSL 3.0, по-прежнему будут уязвимы. Если отключить комплекты шифров с режимом работы CBC в SSL 3.0, будут доступны только комплекты шифров с RC4, атаки RC4 станут проще.
    • При отключении SSL 3.0 вручную атака POODLE завершится неудачно.
  7. ^ а б
    • Полное смягчение; отключение наборов шифров с помощью RC4.
    • Частичные меры по сохранению совместимости со старыми системами; установка более низкого приоритета RC4.
  8. ^ Гугл ХромХром ) поддерживает TLS 1.0 и TLS 1.1 с версии 22 (он был добавлен, а затем удален с версии 21). Поддержка TLS 1.2 была добавлена, а затем удалена из Chrome 29.[75][76][77]
  9. ^ Использует реализацию TLS, предоставленную BoringSSL для Android, OS X и Windows[78] или по НСС для Linux. Google полностью переключает библиотеку TLS, используемую в Chrome, на BoringSSL с NSS.
  10. ^ а б c d е ж грамм час я j k л м п о п q р s т ты v ш Икс у z аа ab ac объявление ае аф аг ах ай эй ак аль являюсь ан ао ap водный настроить включение / отключение каждого протокола с помощью параметра / параметра (название меню зависит от браузеров)
  11. ^ а б c d е ж грамм час я j k л м п о п q р s т настроить максимальную и минимальную версию включения протоколов с помощью параметра командной строки
  12. ^ TLS_FALLBACK_SCSV реализован.[86] Откат к SSL 3.0 отключен с версии 39.[87]
  13. ^ Помимо TLS_FALLBACK_SCSV и отключения отката к SSL 3.0, сам SSL 3.0 отключен по умолчанию.[87]
  14. ^ а б c настроить минимальную версию включения протоколов через chrome: // flags[91] (максимальную версию можно настроить с помощью параметра командной строки)
  15. ^ а б c d е ж грамм час я Только когда нет доступных наборов шифров с RC4, наборы шифров с RC4 будут использоваться в качестве запасного варианта.
  16. ^ а б c d е ж грамм час я j k л м п о п q р s т ты v ш Икс у z аа ab ac объявление ае аф аг ах ай эй ак аль являюсь Все наборы шифров RC4 по умолчанию отключены.
  17. ^ Использует реализацию TLS, предоставленную НСС. Начиная с Firefox 22, Firefox поддерживает только TLS 1.0, несмотря на то, что встроенный NSS поддерживает TLS 1.1. Начиная с Firefox 23, TLS 1.1 можно включить, но он не был включен по умолчанию из-за проблем. В Firefox 24 по умолчанию отключена поддержка TLS 1.2. TLS 1.1 и TLS 1.2 включены по умолчанию в версии Firefox 27.
  18. ^ а б c d е ж грамм час я j k л м п настроить максимальную и минимальную версию разрешающих протоколов через about: config
  19. ^ Сам протокол SSL 3.0 по умолчанию отключен.[108] Кроме того, откат к SSL 3.0 отключен с версии 34,[110] и TLS_FALLBACK_SCSV реализован, начиная с 35.0 и ESR 31.3.[108][111]
  20. ^ Опера 10 добавлена ​​поддержка TLS 1.2 с Престо 2.2. Предыдущая поддержка была для TLS 1.0 и 1.1. По умолчанию TLS 1.1 и 1.2 отключены (кроме версии 9[121] который по умолчанию включил TLS 1.1).
  21. ^ а б SSL 3.0 удаленно отключен по умолчанию с 15 октября 2014 г.[130]
  22. ^ Поддержка TLS в Opera 14 и более поздних версиях такая же, как и в Chrome, поскольку Opera перешла на Хром бэкэнд (Opera 14 для Android основана на Chromium 26 с WebKit,[135] и Opera 15 и новее основаны на Chromium 28 и новее с Мигать[136]).
  23. ^ TLS_FALLBACK_SCSV реализован.[139]
  24. ^ SSL 3.0 включен по умолчанию, при этом реализованы некоторые меры по снижению известных уязвимостей, таких как BEAST и POODLE.[130]
  25. ^ В дополнение к TLS_FALLBACK_SCSV реализовано «разделение записи анти-POODLE».[130]
  26. ^ В дополнение к TLS_FALLBACK_SCSV и «анти-POODLE», по умолчанию отключен сам протокол SSL 3.0.[91]
  27. ^ а б c настроить минимальную версию включения протоколов через opera: // flags[91] (максимальную версию можно настроить с помощью параметра командной строки)
  28. ^ а б c d е ж IE использует реализацию TLS операционной системы Microsoft Windows, предоставляемую SChannel поставщик поддержки безопасности. TLS 1.1 и 1.2 отключены по умолчанию до IE11.[140][141]
  29. ^ а б Windows NT 3.1 поддерживает IE 1–2, Windows NT 3.5 поддерживает IE 1–3, Windows NT 3.51 и Windows NT 4.0 поддерживает IE 1–6
  30. ^ а б c d Windows XP, а также Server 2003 и более ранние версии из коробки поддерживают только слабые шифры, такие как 3DES и RC4.[145] Слабые шифры этой версии SChannel используются не только для IE, но и для других продуктов Microsoft, работающих в этой ОС, таких как Office или Центр обновления Windows. Только Windows Server 2003 может получить обновление вручную для поддержки шифров AES с помощью KB948963[146]
  31. ^ а б c d MS13-095 или MS14-049 для 2003 и XP-64 или SP3 для XP (32-бит)
  32. ^ RC4 можно отключить, кроме как в качестве запасного варианта (только если нет доступных наборов шифров с RC4, наборы шифров с RC4 будут использоваться в качестве запасного варианта).[152]
  33. ^ а б c d При переходе на SSL 3.0 сайты по умолчанию блокируются в Internet Explorer 11 в защищенном режиме.[154][155] SSL 3.0 по умолчанию отключен в Internet Explorer 11 с апреля 2015 года.[156]
  34. ^ а б c Можно отключить через редактирование реестра, но для этого нужны сторонние инструменты.[162]
  35. ^ Edge (ранее известный как Project Spartan) основан на ответвлении движка рендеринга Internet Explorer 11.
  36. ^ Safari использует реализацию операционной системы в Mac OS X, Windows (XP, Vista, 7)[168] с неизвестной версией,[169] Safari 5 - последняя версия, доступная для Windows. В OS X 10.8 включена поддержка SecureTransport для TLS 1.1 и 1.2.[170] Отчет Qualys SSL имитирует Safari 5.1.9 при подключении к TLS 1.0, а не 1.1 или 1.2[171]
  37. ^ В сентябре 2013 года Apple внедрила ЗВЕРЬ смягчение в OS X 10.8 (Mountain Lion), но он не был включен по умолчанию, в результате чего Safari все еще теоретически уязвим для атаки BEAST на этой платформе.[173][174] Снижение риска BEAST было включено по умолчанию в OS X 10.8.5, обновленной в феврале 2014 года.[175]
  38. ^ а б c d е ж грамм час Поскольку Apple удалила поддержку всех протоколов CBC в SSL 3.0 для смягчения последствий POODLE,[176][177] остается только RC4, который также полностью нарушается атаками RC4 в SSL 3.0.
  39. ^ Мобильное Safari и стороннее программное обеспечение, использующее системную библиотеку UIWebView, используют iOS реализация операционной системы, которая поддерживает TLS 1.2 начиная с iOS 5.0.[183][184][185]

Библиотеки

Большинство программных библиотек SSL и TLS бесплатное программное обеспечение с открытым исходным кодом.

  • BoringSSL, форк OpenSSL для Chrome / Chromium и Android, а также других приложений Google.
  • Ботан, лицензированная BSD криптографическая библиотека, написанная на C ++.
  • cryptlib: переносимая библиотека криптографии с открытым исходным кодом (включает реализацию TLS / SSL)
  • Delphi программисты могут использовать библиотеку под названием Инди который использует OpenSSL или, альтернативно, ICS, который теперь поддерживает TLS 1.3.
  • GnuTLS: бесплатная реализация (под лицензией LGPL)
  • Расширение защищенного сокета Java: а Ява реализация включена в Среда выполнения Java поддерживал TLS 1.1 и 1.2, начиная с Java 7. (TLS 1.1 / 1.2 изначально были отключены по умолчанию для клиента на Java 7, но были включены в январе 2017 года.[197]) Java 11 поддерживает TLS 1.3.[198]
  • LibreSSL: форк OpenSSL от проекта OpenBSD.
  • MatrixSSL: реализация с двойной лицензией
  • mbed TLS (ранее PolarSSL): крошечная реализация библиотеки SSL для встроенных устройств, которая разработана для простоты использования.
  • Услуги сетевой безопасности: FIPS 140 проверенная библиотека с открытым исходным кодом
  • OpenSSL: бесплатная реализация (лицензия BSD с некоторыми расширениями)
  • RSA BSAFE Micro Edition Suite: мультиплатформенная реализация TLS, написанная на C с использованием проверенного FIPS криптографического модуля
  • RSA BSAFE SSL-J: библиотека TLS, предоставляющая проприетарный API и JSSE API, с использованием проверенного FIPS криптографического модуля
  • SChannel: реализация SSL и TLS Майкрософт Виндоус как часть его пакета.
  • Безопасный транспорт: реализация SSL и TLS, используемых в OS X и iOS как часть их пакетов.
  • wolfSSL (ранее CyaSSL): встроенная библиотека SSL / TLS с упором на скорость и размер.
Поддержка библиотек TLS / SSL
ВыполнениеSSL 2.0 (небезопасный)SSL 3.0 (небезопасный)TLS 1.0TLS 1.1TLS 1.2TLS 1.3
БотанНетНет[199]дадада
cryptlibНетПо умолчанию отключено во время компиляциидадада
GnuTLSНет[а]По умолчанию отключено[200]дададада[201]
Расширение защищенного сокета JavaНет[а]По умолчанию отключено[202]дададада
LibreSSLНет[203]Нет[204]дададаНачиная с версии 3.2.2 [205][206]
MatrixSSLНетПо умолчанию отключено во время компиляции[207]дададада
(черновая версия)
mbed TLS (ранее PolarSSL)НетПо умолчанию отключено[208]дадада
Услуги сетевой безопасностиНет[b]По умолчанию отключено[209]дада[210]да[211]да[212]
OpenSSLНет[213]Включено по умолчаниюдада[214]да[214]да[215]
RSA BSAFE Люкс Micro EditionНетПо умолчанию отключенодададаЕще нет
RSA BSAFE SSL-JНетПо умолчанию отключенодададаЕще нет
SChannel XP / 2003[216]По умолчанию отключено MSIE 7Включено по умолчаниюВключено по умолчанию в MSIE 7НетНетНет
SChannel Vista[217]По умолчанию отключеноВключено по умолчаниюдаНетНетНет
SChannel 2008[217]По умолчанию отключеноВключено по умолчаниюдаПо умолчанию отключено (KB4019276)[149]По умолчанию отключено (KB4019276)[149]Нет
SChannel 7/2008 R2[218]По умолчанию отключеноПо умолчанию отключено в MSIE 11даВключено по умолчанию в MSIE 11Включено по умолчанию в MSIE 11Нет
SChannel 8/2012[218]По умолчанию отключеноВключено по умолчаниюдаПо умолчанию отключеноПо умолчанию отключеноНет
SChannel 8.1 / 2012 R2, 10 v1507 и v1511[218]По умолчанию отключеноПо умолчанию отключено в MSIE 11дададаНет
SChannel 10 v1607 / 2016[159]НетПо умолчанию отключенодададаНет
Безопасный транспорт OS X 10.2–10.8 / iOS 1–4дададаНетНет
Безопасный транспорт OS X 10.9–10.10 / iOS 5–8Нет[c]дадада[c]да[c]
Безопасный транспорт OS X 10.11 / iOS 9НетНет[c]дадада
Семя7 Библиотека TLS / SSLНетдададада
wolfSSL (ранее CyaSSL)НетПо умолчанию отключено[219]дададада
(черновая версия)[220]
ВыполнениеSSL 2.0 (небезопасный)SSL 3.0 (небезопасный)TLS 1.0TLS 1.1TLS 1.2TLS 1.3
  1. ^
    Приветствие клиента SSL 2.0 поддерживается, хотя SSL 2.0 не поддерживается или отключен из-за обратной совместимости.
  2. ^
    Реализация протокола SSL / TLS на стороне сервера по-прежнему поддерживает обработку полученных сообщений приветствия v2-совместимого клиента.[221]
  3. ^
    Безопасный транспорт: поддержка SSL 2.0 в OS X 10.8 была прекращена. Поддержка SSL 3.0 была прекращена в OS X 10.11 и iOS 9. TLS 1.1 и 1.2 доступны в iOS 5.0 и новее, а также OS X 10.9 и новее.[222]
  4. [223]

Документ, представленный на конференции 2012 г. ACM конференция по компьютерной и коммуникационной безопасности[224] показал, что некоторые приложения правильно используют некоторые из этих библиотек SSL, что приводит к уязвимостям. По мнению авторов

"основной причиной большинства этих уязвимостей является ужасный дизайн API-интерфейсов для базовых библиотек SSL. Вместо того, чтобы выражать высокоуровневые свойства безопасности сетевых туннелей, такие как конфиденциальность и аутентификация, эти API-интерфейсы раскрывают низкоуровневые детали протокола SSL разработчикам приложений. Как следствие, разработчики часто неправильно используют SSL API, неверно истолковывая и неправильно понимая их многочисленные параметры, опции, побочные эффекты и возвращаемые значения ».


Другое использование

В Простой протокол передачи почты (SMTP) также можно защитить с помощью TLS. Эти приложения используют сертификаты открытых ключей для проверки подлинности конечных точек.

TLS также можно использовать для туннелирования всего сетевого стека для создания VPN, что имеет место с OpenVPN и OpenConnect. Многие поставщики к настоящему времени объединили возможности шифрования и аутентификации TLS с авторизацией. С конца 1990-х годов также произошли существенные изменения в создании клиентских технологий вне веб-браузеров, чтобы обеспечить поддержку клиент-серверных приложений. По сравнению с традиционными IPsec Технологии VPN, TLS имеет некоторые неотъемлемые преимущества в межсетевом экране и NAT обход, который упрощает администрирование для больших групп удаленного доступа.

TLS также является стандартным методом защиты Протокол инициирования сеанса (SIP) сигнализация приложений. TLS может использоваться для обеспечения аутентификации и шифрования сигнализации SIP, связанной с VoIP и другие приложения на основе SIP.[225]

Безопасность

SSL 2.0

В SSL 2.0 было несколько недостатков:[226]

  • Идентичные криптографические ключи использовались для проверка подлинности сообщения и шифрование. (В SSL 3.0 секреты MAC могут быть больше, чем ключи шифрования, поэтому сообщения могут оставаться устойчивыми к взлому, даже если ключи шифрования сломаны.[5])
  • SSL 2.0 имел слабую структуру MAC, в которой использовалась хеш-функция MD5 с секретным префиксом, что делало его уязвимым для атаки удлинения длины.
  • SSL 2.0 не имел никакой защиты для рукопожатия, то есть человек посередине атака на понижение версии может остаться незамеченным.
  • SSL 2.0 использовал близкое TCP-соединение для обозначения конца данных. Это означало, что атаки с усечением были возможны: злоумышленник просто подделывает TCP FIN, оставляя получателя в неведении о незаконном конце сообщения с данными (SSL 3.0 устранил эту проблему с помощью явного предупреждения о закрытии).
  • SSL 2.0 предполагал единую службу и фиксированный сертификат домена, что противоречило стандартной функции виртуального хостинга на веб-серверах. Это означает, что большинство веб-сайтов практически не смогли использовать SSL.

SSL 2.0 был отключен по умолчанию, начиная с Internet Explorer 7,[227] Mozilla Firefox 2,[228] Опера 9.5,[229] и Сафари. Поддержка SSL 2.0 (и слабая 40 бит и 56-битные шифры) был полностью удален из Opera начиная с версии 10.[230][231]

SSL 3.0

SSL 3.0 улучшен по сравнению с SSL 2.0 за счет добавления шифров на основе SHA-1 и поддержки аутентификации по сертификату.

С точки зрения безопасности SSL 3.0 следует считать менее желательным, чем TLS 1.0. Комплекты шифров SSL 3.0 имеют более слабый процесс получения ключей; половина установленного главного ключа полностью зависит от хэш-функции MD5, которая не устойчива к коллизиям и, следовательно, не считается безопасной. В рамках TLS 1.0 установленный главный ключ зависит как от MD5, так и от SHA-1, поэтому процесс его создания в настоящее время не считается слабым. По этой причине реализации SSL 3.0 не могут быть проверены в соответствии с FIPS 140-2.[232]

В октябре 2014 года было сообщено об уязвимости в конструкции SSL 3.0, в результате чего режим работы CBC с SSL 3.0 стал уязвимым для атаки дополнением (см. # ПУДЕЛЬ нападение ).

TLS

TLS имеет ряд мер безопасности:

  • Защита от понижения версии протокола до предыдущей (менее безопасной) версии или более слабого набора шифров.
  • Нумерация последующих записей приложения с порядковым номером и использование этого порядкового номера в коды аутентификации сообщений (MAC).
  • Использование дайджеста сообщения, дополненного ключом (чтобы только обладатель ключа мог проверить MAC). В HMAC конструкция, используемая большинством наборов шифров TLS, указана в RFC  2104 (SSL 3.0 использовал другой MAC-адрес на основе хэша).
  • Сообщение, завершающее рукопожатие («Завершено»), отправляет хэш всех обмененных сообщений рукопожатия, увиденных обеими сторонами.
  • В псевдослучайный функция разбивает входные данные пополам и обрабатывает каждый из них с помощью другого алгоритма хешированияMD5 и SHA-1 ), тогда XOR их вместе, чтобы создать MAC. Это обеспечивает защиту, даже если один из этих алгоритмов оказывается уязвимым.

Атаки на TLS / SSL

Значительные атаки на TLS / SSL перечислены ниже.

В феврале 2015 года IETF выпустила информационный RFC.[233] обобщение различных известных атак на TLS / SSL.

Атака повторного согласования

В августе 2009 года была обнаружена уязвимость процедуры повторного согласования, которая может привести к атакам путем внедрения открытого текста против SSL 3.0 и всех текущих версий TLS.[234] Например, он позволяет злоумышленнику, который может перехватить https-соединение, вставить свои собственные запросы в начало разговора, который клиент ведет с веб-сервером. На самом деле злоумышленник не может расшифровать обмен данными клиент-сервер, поэтому он отличается от типичной атаки типа «человек посередине». Кратковременное исправление состоит в том, чтобы веб-серверы перестали разрешать повторное согласование, которое обычно не требует других изменений, если только сертификат клиента используется аутентификация. Чтобы исправить уязвимость, для TLS было предложено расширение индикации повторного согласования. Это потребует от клиента и сервера включения и проверки информации о предыдущих рукопожатиях в любые рукопожатия повторного согласования.[235] Это расширение стало предлагаемым стандартом, и ему был присвоен номер RFC  5746. RFC реализован несколькими библиотеками.[236][237][238]

Атаки на понижение версии: FREAK атака и Тупиковая атака

Протокол атака на понижение версии (также называемая атакой с откатом версии) обманом заставляет веб-сервер согласовывать соединения с предыдущими версиями TLS (такими как SSLv2), которые давно считались небезопасными.

Предыдущие модификации исходных протоколов, например Фальстарт[239] (принят и включен в Google Chrome[240]) или Snap Start, как сообщается, представили ограниченные атаки на понижение версии протокола TLS[241] или разрешенные изменения в списке шифров, отправленных клиентом на сервер. При этом злоумышленник может преуспеть во влиянии на выбор набора шифров в попытке понизить уровень набора шифров, согласованный для использования либо более слабого алгоритма симметричного шифрования, либо более слабого обмена ключами.[242] Документ, представленный на ACM конференция по компьютерной и коммуникационной безопасности в 2012 году продемонстрировал, что расширение False Start находится под угрозой: при определенных обстоятельствах оно может позволить злоумышленнику восстановить ключи шифрования в автономном режиме и получить доступ к зашифрованным данным.[243]

Атаки перехода на более раннюю версию шифрования могут вынудить серверы и клиентов согласовывать соединение с использованием криптографически слабых ключей. В 2014 г. человек посередине была обнаружена атака под названием FREAK, затрагивающая OpenSSL стек, по умолчанию Android веб-браузер, а некоторые Сафари браузеры.[244] Атака заключалась в том, чтобы обманом заставить серверы согласовать TLS-соединение с использованием криптографически слабых 512-битных ключей шифрования.

Logjam - это эксплойт безопасности обнаруженный в мае 2015 года, который использует возможность использования устаревших "экспортный сорт" 512 бит Диффи – Хеллмана группы, восходящие к 1990-м годам.[245] Это вынуждает уязвимые серверы перейти на криптографически слабые 512-битные группы Диффи-Хеллмана. Затем злоумышленник может вывести ключи, которые определяют клиент и сервер, используя Обмен ключами Диффи – Хеллмана.

Межпротокольные атаки: DROWN

В DROWN атака - это эксплойт, который атакует серверы, поддерживающие современные наборы протоколов SSL / TLS, используя их поддержку устаревшего, небезопасного протокола SSLv2 для атаки на соединения с использованием современных протоколов, которые в противном случае были бы безопасными.[246][247] DROWN использует уязвимость в используемых протоколах и конфигурации сервера, а не конкретную ошибку реализации. Полная информация о DROWN была объявлена ​​в марте 2016 года вместе с патчем для эксплойта. В то время более 81000 из 1 миллиона самых популярных веб-сайтов были среди веб-сайтов, защищенных TLS, которые были уязвимы для атаки DROWN.[247]

ЗВЕРЬ атака

23 сентября 2011 года исследователи Тай Дуонг и Джулиано Риццо продемонстрировали доказательство концепции под названием ЗВЕРЬ (Использование браузера против SSL / TLS)[248] с помощью Java-апплет нарушить та же политика происхождения ограничения, давно известные цепочка блоков шифра (CBC) уязвимость в TLS 1.0:[249][250] злоумышленник, наблюдающий 2 последовательных блока зашифрованного текста C0, C1, может проверить, равен ли блок открытого текста P1 x, выбрав следующий блок открытого текста P2 = x C0 C1; согласно операции CBC, C2 = E (C1 P2) = E (C1 Икс C0 C1) = E (C0 x), который будет равен C1, если x = P1. Практичный подвиги ранее не демонстрировались для этого уязвимость, который был первоначально обнаружен Филип Рогавей[251] в 2002 году. Уязвимость атаки была устранена с помощью TLS 1.1 в 2006 году, но TLS 1.1 не получил широкого распространения до демонстрации этой атаки.

RC4 поскольку потоковый шифр невосприимчив к атаке BEAST. Таким образом, RC4 широко использовался как способ смягчить атаку BEAST на стороне сервера. Однако в 2013 году исследователи обнаружили в RC4 больше слабых мест. После этого включение RC4 на стороне сервера больше не рекомендовалось.[252]

Сами Chrome и Firefox не уязвимы для атаки BEAST,[79][99] однако Mozilla обновила свои НСС библиотеки для смягчения BEAST-подобных нападения. NSS используется Mozilla Firefox и Гугл Хром для реализации SSL. Немного веб-серверы у которых нарушена реализация спецификации SSL, могут в результате перестать работать.[253]

Microsoft выпустила бюллетень по безопасности MS12-006 10 января 2012 г., в котором исправлена ​​уязвимость BEAST путем изменения способа, которым защищенный канал Windows (SChannel ) компонент передает зашифрованные сетевые пакеты со стороны сервера.[254] Пользователи Internet Explorer (до версии 11), работающие в более старых версиях Windows (Windows 7, Windows 8 и Windows Server 2008 R2 ) может ограничить использование TLS до версии 1.1 или выше.

яблоко исправлена ​​уязвимость BEAST, реализовав разделение 1 / n-1 и включив его по умолчанию в OS X Mavericks, выпущенный 22 октября 2013 г.[255]

CRIME и BREACH атаки

Авторы атаки BEAST также являются создателями более позднего ПРЕСТУПЛЕНИЕ атака, которая может позволить злоумышленнику восстановить содержимое веб-файлов cookie, когда Сжатие данных используется вместе с TLS.[256][257] Когда используется для восстановления содержимого секрета файлы cookie аутентификации, это позволяет злоумышленнику выполнить захват сеанса в аутентифицированном веб-сеансе.

В то время как атака CRIME была представлена ​​как общая атака, которая может эффективно работать против большого количества протоколов, включая, помимо прочего, TLS и протоколы прикладного уровня, такие как SPDY или HTTP, были продемонстрированы только эксплойты против TLS и SPDY, и в браузерах и на серверах они были существенно уменьшены. ПРЕСТУПЛЕНИЕ против HTTP-сжатие не была устранена вообще, хотя авторы CRIME предупредили, что эта уязвимость может быть даже более распространенной, чем сжатие SPDY и TLS вместе взятые. В 2013 году появился новый пример CRIME-атаки на HTTP-сжатие, получивший название НАРУШЕНИЕ, было объявлено. На основе CRIME-атаки, BREACH-атака может извлекать токены входа, адреса электронной почты или другую конфиденциальную информацию из зашифрованного TLS веб-трафика всего за 30 секунд (в зависимости от количества байтов, которые нужно извлечь), при условии, что злоумышленник обманом заставляет жертву посетить вредоносная веб-ссылка или может внедрять контент на действительные страницы, которые посещает пользователь (например, беспроводная сеть под контролем злоумышленника).[258] Все версии TLS и SSL подвержены риску BREACH независимо от используемого алгоритма шифрования или шифра.[259] В отличие от предыдущих экземпляров CRIME, от которых можно успешно защититься, отключив сжатие TLS или сжатие заголовков SPDY, BREACH использует сжатие HTTP, которое невозможно отключить, поскольку практически все веб-серверы полагаются на него для повышения скорости передачи данных для пользователей.[258] Это известное ограничение TLS, поскольку он подвержен атака по выбранному открытому тексту от данных прикладного уровня, которые он должен был защищать.

Атаки по времени на заполнение

Более ранние версии TLS были уязвимы для атака оракула обнаружен в 2002 году. Новый вариант, названный Счастливая тринадцатая атака, был опубликован в 2013 году.

Некоторые эксперты[62] также рекомендуется избегать Тройной DES CBC. Начиная с последних поддерживаемых шифров, разработанных для поддержки любых программ, использующих Windows XP библиотеки SSL / TLS, такие как Internet Explorer в Windows XP, RC4 и Triple-DES, и поскольку RC4 теперь устарел (см. обсуждение RC4 атаки ), это затрудняет поддержку любой версии SSL для любой программы, использующей эту библиотеку в XP.

Исправление было выпущено как расширение Encrypt-then-MAC для спецификации TLS, выпущенное как RFC  7366.[260] Атаку Lucky Thirteen можно смягчить в TLS 1.2, используя только шифры AES_GCM; AES_CBC остается уязвимым.[нужна цитата ]

ПУДЕЛЬ нападение

14 октября 2014 г. исследователи Google опубликовали уязвимость в конструкции SSL 3.0, которая делает CBC режим работы с SSL 3.0 уязвим к атака набивкой (CVE -2014-3566 ). Они назвали эту атаку ПУДЕЛЬ (Дополнение Oracle к устаревшему шифрованию с пониженной версией). В среднем злоумышленникам нужно всего 256 запросов SSL 3.0, чтобы раскрыть один байт зашифрованных сообщений.[69]

Хотя эта уязвимость существует только в SSL 3.0 и большинство клиентов и серверов поддерживают TLS 1.0 и выше, все основные браузеры добровольно переходят на SSL 3.0, если квитирование с более новыми версиями TLS не удается, если они не предоставляют пользователю или администратору возможность отключить SSL 3.0. и пользователь или администратор делает это[нужна цитата ]. Поэтому человек посередине может сначала провести атака отката версии а затем использовать эту уязвимость.[69]

В общем, постепенное снижение безопасности ради функциональной совместимости трудно осуществить таким образом, чтобы его нельзя было использовать. Это сложно, особенно в доменах с высокой фрагментацией.[261]

8 декабря 2014 г. был объявлен вариант POODLE, влияющий на реализации TLS, которые не обеспечивают должного соблюдения требований к байтам заполнения.[262]

RC4 атаки

Несмотря на наличие атак на RC4 что нарушило его безопасность, комплекты шифров в SSL и TLS, основанные на RC4, по-прежнему считались безопасными до 2013 года из-за того, как они использовались в SSL и TLS. В 2011 году пакет RC4 был рекомендован как временное решение для ЗВЕРЬ атака.[263] Новые формы атак, раскрытые в марте 2013 года, убедительно продемонстрировали возможность взлома RC4 в TLS, предполагая, что это не лучший обходной путь для BEAST.[68] Сценарий атаки был предложен АльФарданом, Бернстайном, Патерсоном, Поеттерингом и Шульдтом, в котором использовались недавно обнаруженные статистические ошибки в ключевой таблице RC4.[264] для восстановления частей открытого текста с большим количеством шифрования TLS.[265][266] Атака на RC4 в TLS и SSL, требующая 13 × 220 Шифрование для взлома RC4 было представлено 8 июля 2013 г. и позже описано как «выполнимое» в сопроводительной презентации на USENIX Симпозиум по безопасности в августе 2013 года.[267][268] В июле 2015 года последующие улучшения в атаке сделали более практичным взлом безопасности TLS с шифрованием RC4.[269]

Поскольку многие современные браузеры были разработаны для защиты от атак BEAST (кроме Safari для Mac OS X 10.7 или более ранней версии, для iOS 6 или более ранней версии и для Windows; см. § Веб-браузеры ), RC4 больше не подходит для TLS 1.0. Шифры CBC, которые ранее подвергались атаке BEAST, стали более популярным выбором для защиты.[62] Mozilla и Microsoft рекомендуют отключать RC4, где это возможно.[270][271] RFC  7465 запрещает использование комплектов шифров RC4 во всех версиях TLS.

1 сентября 2015 года Microsoft, Google и Mozilla объявили, что наборы шифров RC4 будут отключены по умолчанию в их браузерах (Microsoft Edge, Internet Explorer 11 в Windows 7 / 8.1 / 10, Fire Fox, и Хром ) в начале 2016 года.[272][273][274]

Усеченная атака

Атака с усечением TLS (выход из системы) блокирует запросы на выход из учетной записи жертвы, так что пользователь по незнанию остается в системе веб-службы. При отправке запроса на выход злоумышленник вводит незашифрованный TCP Сообщение FIN (больше нет данных от отправителя), чтобы закрыть соединение. Таким образом, сервер не получает запрос на выход и не знает об аварийном завершении.[275]

Опубликовано в июле 2013 г.,[276][277] атака вызывает веб-службы, такие как Gmail и Hotmail для отображения страницы, информирующей пользователя об успешном выходе из системы, при этом гарантируя, что браузер пользователя поддерживает авторизацию со службой, позволяя злоумышленнику с последующим доступом к браузеру получить доступ и взять под контроль учетную запись пользователя, вошедшего в систему . Атака не основана на установке вредоносного ПО на компьютер жертвы; злоумышленникам нужно только встать между жертвой и веб-сервером (например, установив мошенническую беспроводную точку доступа).[275] Эта уязвимость также требует доступа к компьютеру жертвы. Другая возможность заключается в том, что при использовании FTP соединение для передачи данных может иметь ложный FIN в потоке данных, и если правила протокола для обмена предупреждениями close_notify не соблюдаются для файла, может быть усечено.

Нечестивая атака PAC

Эта атака, обнаруженная в середине 2016 года, использует слабые места в Протокол автообнаружения веб-прокси (WPAD), чтобы предоставить URL-адрес, который веб-пользователь пытается перейти по веб-ссылке с поддержкой TLS.[278] Раскрытие URL-адреса может нарушить конфиденциальность пользователя не только из-за доступа к веб-сайту, но и из-за того, что URL-адреса иногда используются для аутентификации пользователей. Службы обмена документами, такие как предлагаемые Google и Dropbox, также работают, отправляя пользователю токен безопасности, включенный в URL-адрес. Злоумышленник, получивший такие URL-адреса, может получить полный доступ к учетной записи или данным жертвы.

Эксплойт работает практически со всеми браузерами и операционными системами.

Sweet32 атака

Атака Sweet32 ломает все 64-битные блочные шифры, используемые в режиме CBC, которые используются в TLS, используя атака на день рождения и либо атака "человек посередине" или введение злонамеренного JavaScript на веб-страницу. Цель атаки «человек посередине» или инъекции JavaScript - позволить злоумышленнику захватить достаточно трафика для проведения атаки в день рождения.[279]

Ошибки реализации: Heartbleed ошибка, Атака BERserk, ошибка Cloudflare

В Heartbleed bug - серьезная уязвимость, специфичная для реализации SSL / TLS в популярных OpenSSL библиотека криптографического программного обеспечения, затрагивающая версии с 1.0.1 по 1.0.1f. Эта уязвимость, о которой было сообщено в апреле 2014 года, позволяет злоумышленникам украсть приватные ключи с серверов, которые обычно должны быть защищены.[280] Ошибка Heartbleed позволяет любому пользователю Интернета читать память систем, защищенных уязвимыми версиями программного обеспечения OpenSSL. Это ставит под угрозу секретные закрытые ключи, связанные с публичные сертификаты используется для идентификации поставщиков услуг и для шифрования трафика, имен и паролей пользователей и фактического контента. Это позволяет злоумышленникам подслушивать сообщения, красть данные непосредственно у сервисов и пользователей и выдавать себя за сервисы и пользователей.[281] Уязвимость вызвана переполнение буфера ошибка в программном обеспечении OpenSSL, а не дефект в спецификации протокола SSL или TLS.

В сентябре 2014 года вариант Дэниела Блейхенбахера PKCS # 1 v1.5 уязвимость подделки подписи RSA[282] было объявлено Intel Security Advanced Threat Research. Эта атака, получившая название BERserk, является результатом неполного декодирования длины ASN.1 подписей с открытым ключом в некоторых реализациях SSL и допускает атаку типа «злоумышленник в середине» путем подделки подписи с открытым ключом.[283]

В феврале 2015 года, после того, как СМИ сообщили о скрытой предварительной установке Суперфиш рекламное ПО на некоторых ноутбуках Lenovo,[284] исследователь обнаружил, что доверенный корневой сертификат на затронутых машинах Lenovo небезопасен, поскольку ключи можно было легко получить, используя название компании Komodia в качестве пароля.[285] Библиотека Komodia была разработана для перехвата клиентского TLS / SSL-трафика для родительского контроля и наблюдения, но она также использовалась во многих рекламных программах, включая Superfish, которые часто устанавливались тайком без ведома пользователя компьютера. В свою очередь, эти потенциально нежелательные программы установил поврежденный корневой сертификат, позволяющий злоумышленникам полностью контролировать веб-трафик и подтверждать подлинность ложных веб-сайтов.

В мае 2016 года сообщалось, что десятки датских HTTPS-защищенных веб-сайтов, принадлежащих Visa Inc. были уязвимы для атак, позволяющих хакерам внедрять вредоносный код и поддельный контент в браузеры посетителей.[286] Атаки сработали, потому что реализация TLS, используемая на затронутых серверах, неправильно повторно использовала случайные числа (nonces ), которые предназначены для использования только один раз, гарантируя, что каждый Рукопожатие TLS уникален.[286]

В феврале 2017 года ошибка реализации, вызванная одним неверным символом в коде, используемом для синтаксического анализа HTML, привела к ошибке переполнения буфера на Cloudflare серверы. По своим эффектам похожая на ошибку Heartbleed, обнаруженную в 2014 году, эта ошибка переполнения, широко известная как Cloudbleed, позволяла неавторизованным третьим сторонам читать данные в памяти программ, запущенных на серверах, - данные, которые в противном случае должны были быть защищены TLS.[287]

Обзор сайтов, уязвимых для атак

По состоянию на август 2019 г.организация Trustworthy Internet Movement оценила долю веб-сайтов, уязвимых для TLS-атак.[67]

Обзор TLS-уязвимостей наиболее популярных сайтов
АтакиБезопасность
НебезопасныйЗависит отБезопасныйДругой
Атака повторного согласования0.3%
поддерживать небезопасное повторное согласование
0.1%
поддерживать оба
98.4%
поддерживать безопасное повторное согласование
1.1%
без поддержки
RC4 атаки1.2%
поддержка пакетов RC4, используемых с современными браузерами
12.1%
поддержка некоторых наборов RC4
86.7%
без поддержки
Нет данных
Сжатие TLS (ПРЕСТУПНАЯ атака)0.6%
уязвимый
Нет данныхНет данныхНет данных
Heartbleed<0.1%
уязвимый
Нет данныхНет данныхНет данных
Инъекционная атака ChangeCipherSpec0.2%
уязвимый и эксплуатируемый
1.2%
уязвимый, не пригодный для эксплуатации
96.9%
не уязвим
1.7%
неизвестный
Атака POODLE на TLS
(Оригинальный POODLE против SSL 3.0 не включен)
0.3%
уязвимый и эксплуатируемый
Нет данных99.5%
не уязвим
0.2%
неизвестный
Понижение версии протокола11.3%
Защита от перехода на более раннюю версию не поддерживается
Нет данных71.6%
Защита от понижения версии поддерживается
17.0%
неизвестный

Прямая секретность

Прямая секретность - это свойство криптографических систем, которое гарантирует, что сеансовый ключ, полученный из набора открытых и закрытых ключей, не будет скомпрометирован, если один из закрытых ключей будет скомпрометирован в будущем.[288] Без прямой секретности, если закрытый ключ сервера будет скомпрометирован, будут скомпрометированы не только все будущие сеансы с шифрованием TLS, использующие этот сертификат сервера, но также и любые прошлые сеансы, которые его использовали (при условии, конечно, что эти прошлые сеансы были перехвачены и сохранены во время передачи).[289] Реализация TLS может обеспечить прямую секретность, требуя использования эфемерных Обмен ключами Диффи – Хеллмана для установки ключей сеанса, и некоторые известные реализации TLS делают это исключительно: например, Gmail и другие службы Google HTTPS, которые используют OpenSSL.[290] Однако многие клиенты и серверы, поддерживающие TLS (включая браузеры и веб-серверы), не настроены для реализации таких ограничений.[291][292] На практике, если веб-служба не использует обмен ключами Диффи – Хеллмана для реализации прямой секретности, весь зашифрованный веб-трафик к этой службе и от нее может быть расшифрован третьей стороной, если она получит главный (закрытый) ключ сервера; например, по решению суда.[293]

Даже там, где реализован обмен ключами Диффи – Хеллмана, механизмы управления сеансом на стороне сервера могут повлиять на прямую секретность. Использование Билеты сеанса TLS (расширение TLS) обеспечивает защиту сеанса с помощью AES128-CBC-SHA256 независимо от любых других согласованных параметров TLS, включая шифрокомплекты прямой секретности, а долгоживущие ключи билета сеанса TLS препятствуют попытке реализовать прямую секретность.[294][295][296] Исследование Стэнфордского университета в 2014 году также показало, что из 473 802 опрошенных TLS-серверов 82,9% серверов, развертывающих обмен эфемерными ключами Диффи-Хеллмана (DHE) для поддержки прямой секретности, использовали слабые параметры Диффи-Хеллмана. Этот слабый выбор параметров может потенциально поставить под угрозу эффективность прямой секретности, которую серверы стремились обеспечить.[297]

С конца 2011 года Google по умолчанию обеспечивает прямую секретность с помощью TLS для пользователей своих Gmail сервис, наряду с Гугл документы и зашифрованный поиск, среди прочих услуг.[298]С ноября 2013 г. Twitter обеспечил прямую секретность с помощью TLS для пользователей своей службы.[299] По состоянию на август 2019 г., около 80% веб-сайтов с поддержкой TLS настроены на использование комплектов шифров, которые обеспечивают прямую секретность для большинства веб-браузеров.[67]

Перехват TLS

Перехват TLS (или HTTPS перехват, если применяется, в частности, к этому протоколу) - это практика перехвата зашифрованного потока данных с целью его расшифровки, чтения и, возможно, манипулирования им, а затем повторно зашифровать его и снова отправить данные в пути. Это делается с помощью "прозрачный прокси ": программа перехвата завершает входящее соединение TLS, проверяет открытый текст HTTP, а затем создает новое соединение TLS к месту назначения.[300]

Перехват TLS / HTTPS используется как информационной безопасности меры операторами сети, чтобы иметь возможность сканировать и защищать от проникновения вредоносного содержимого в сеть, такого как компьютерные вирусы и другие вредоносное ПО.[300] В противном случае такой контент не мог бы быть обнаружен, пока он защищен шифрованием, что становится все более актуальным в результате обычного использования HTTPS и других безопасных протоколов.

Существенным недостатком перехвата TLS / HTTPS является то, что он создает собственные новые риски безопасности. Поскольку он предоставляет точку, в которой сетевой трафик доступен в незашифрованном виде, у злоумышленников есть стимул атаковать эту точку, в частности, чтобы получить доступ к защищенному в противном случае контенту. Перехват также позволяет оператору сети или лицам, которые получают доступ к его системе перехвата, выполнять Атаки посредника против пользователей сети. Исследование, проведенное в 2017 году, показало, что «перехват HTTPS стал поразительно широко распространенным, и что продукты для перехвата данных как класс оказывают крайне негативное влияние на безопасность соединения».[300]

Детали протокола

Обмен по протоколу TLS записи, которые инкапсулируют данные для обмена в определенном формате (см. ниже). Каждую запись можно сжимать, дополнять, добавлять код аутентификации сообщения (MAC) или зашифрованный, все в зависимости от состояния соединения. Каждая запись имеет Тип содержимого поле, обозначающее тип инкапсулированных данных, поле длины и поле версии TLS. Инкапсулированные данные могут быть управляющими или процедурными сообщениями самого TLS или просто данными приложения, которые необходимо передать TLS. Спецификации (набор шифров, ключи и т. Д.), Необходимые для обмена данными приложения с помощью TLS, согласовываются в «рукопожатии TLS» между клиентом, запрашивающим данные, и сервером, отвечающим на запросы. Таким образом, протокол определяет как структуру полезных данных, передаваемых в TLS, так и процедуру установления и отслеживания передачи.

Рукопожатие TLS

Когда соединение начинается, запись инкапсулирует "контрольный" протокол - протокол обмена сообщениями рукопожатия (Тип содержимого 22). Этот протокол используется для обмена всей информацией, необходимой обеим сторонам для обмена фактическими данными приложения по TLS. Он определяет формат сообщений и порядок их обмена. Они могут варьироваться в зависимости от требований клиента и сервера, т. Е. Существует несколько возможных процедур для установки соединения. Этот первоначальный обмен приводит к успешному соединению TLS (обе стороны готовы передавать данные приложения с помощью TLS) или предупреждающему сообщению (как указано ниже).

Базовое рукопожатие TLS

Ниже приводится типичный пример подключения, иллюстрирующий рукопожатие где сервер (но не клиент) аутентифицируется своим сертификатом:

  1. Фаза переговоров:
    • Клиент отправляет Клиент привет сообщение с указанием самой высокой версии протокола TLS, которую он поддерживает, случайное число, список предлагаемых наборы шифров и предлагаемые методы сжатия. Если клиент пытается выполнить возобновленное рукопожатие, он может отправить идентификатор сессии. Если клиент может использовать Согласование протокола уровня приложений, он может включать список поддерживаемых приложений протоколы, такие как HTTP / 2.
    • Сервер отвечает СерверПривет сообщение, содержащее выбранную версию протокола, случайное число, набор шифров и метод сжатия из вариантов, предлагаемых клиентом. Чтобы подтвердить или разрешить возобновление рукопожатий, сервер может отправить идентификатор сессии. Выбранная версия протокола должна быть самой высокой, поддерживаемой как клиентом, так и сервером. Например, если клиент поддерживает TLS версии 1.1, а сервер поддерживает версию 1.2, следует выбрать версию 1.1; версию 1.2 выбирать не следует.
    • Сервер отправляет свой Сертификат сообщение (в зависимости от выбранного набора шифров сервер может не указывать его).[301]
    • Сервер отправляет свой ServerKeyExchange сообщение (в зависимости от выбранного набора шифров сервер может не указывать его). Это сообщение отправлено всем DHE, ECDHE и наборы шифров DH_anon.[2]
    • Сервер отправляет СерверHelloDone сообщение, указывающее, что это сделано с согласованием рукопожатия.
    • Клиент отвечает ClientKeyExchange сообщение, которое может содержать PreMasterSecret, открытый ключ или ничего. (Опять же, это зависит от выбранного шифра.) Это PreMasterSecret зашифрован с использованием открытого ключа сертификата сервера.
    • Затем клиент и сервер используют случайные числа и PreMasterSecret вычислить общий секрет, называемый «главным секретом». Все остальные ключевые данные (ключи сеанса такие как IV, симметричное шифрование ключ, MAC ключ[302]) для этого соединения извлекается из этого главного секрета (и случайных значений, генерируемых клиентом и сервером), который передается через тщательно разработанный псевдослучайный функция.
  2. Теперь клиент отправляет ChangeCipherSpec запись, по существу говоря серверу: «Все, что я скажу вам с этого момента, будет аутентифицировано (и зашифровано, если параметры шифрования присутствовали в сертификате сервера)». ChangeCipherSpec сам по себе является протоколом уровня записи с типом содержимого 20.
    • Клиент отправляет аутентифицированный и зашифрованный Законченный сообщение, содержащее хэш и MAC по сравнению с предыдущими сообщениями подтверждения.
    • Сервер попытается расшифровать клиентский Законченный сообщение и проверьте хэш и MAC. Если расшифровка или проверка завершились неудачно, рукопожатие считается неудачным, и соединение должно быть разорвано.
  3. Наконец, сервер отправляет ChangeCipherSpec, сообщая клиенту: «Все, что я скажу вам с этого момента, будет аутентифицировано (и зашифровано, если шифрование было согласовано)».
    • Сервер отправляет свои аутентифицированные и зашифрованные Законченный сообщение.
    • Клиент выполняет ту же процедуру дешифрования и проверки, что и сервер на предыдущем шаге.
  4. Фаза приложения: на этом этапе «рукопожатие» завершено, протокол приложения включен с типом содержимого 23. Сообщения приложений, которыми обмениваются клиент и сервер, также будут аутентифицированы и, возможно, зашифрованы точно так же, как и в их Законченный сообщение. В противном случае тип контента вернет 25, и клиент не будет аутентифицироваться.

Подтвержденное клиентом рукопожатие TLS

Следующее полный Пример показывает, как клиент аутентифицируется (в дополнение к серверу, как в примере выше) через TLS с использованием сертификатов, которыми обмениваются оба одноранговых узла.

  1. Фаза переговоров:
    • Клиент отправляет Клиент привет сообщение с указанием наивысшей поддерживаемой версии протокола TLS, случайного числа, списка предлагаемых наборов шифров и методов сжатия.
    • Сервер отвечает СерверПривет сообщение, содержащее выбранную версию протокола, случайное число, набор шифров и метод сжатия из вариантов, предлагаемых клиентом. Сервер также может отправить идентификатор сессии как часть сообщения для возобновления рукопожатия.
    • Сервер отправляет свой Сертификат сообщение (в зависимости от выбранного набора шифров сервер может не указывать его).[301]
    • Сервер отправляет свой ServerKeyExchange сообщение (в зависимости от выбранного набора шифров сервер может не указывать его). Это сообщение отправляется для всех наборов шифров DHE, ECDHE и DH_anon.[2]
    • Сервер отправляет CertificateRequest сообщение, чтобы запросить сертификат у клиента, чтобы соединение могло быть взаимно подтвержденный.
    • Сервер отправляет СерверHelloDone сообщение, указывающее, что это сделано с согласованием рукопожатия.
    • Клиент отвечает Сертификат сообщение, которое содержит сертификат клиента.
    • Клиент отправляет ClientKeyExchange сообщение, которое может содержать PreMasterSecret, открытый ключ или ничего. (Опять же, это зависит от выбранного шифра.) Это PreMasterSecret зашифрован с использованием открытого ключа сертификата сервера.
    • Клиент отправляет CertificateVerify сообщение, которое представляет собой подпись над предыдущими сообщениями рукопожатия с использованием закрытого ключа сертификата клиента. Эта подпись может быть проверена с помощью открытого ключа сертификата клиента. Это позволяет серверу знать, что клиент имеет доступ к закрытому ключу сертификата и, следовательно, владеет сертификатом.
    • Затем клиент и сервер используют случайные числа и PreMasterSecret для вычисления общего секрета, называемого «главным секретом». Все остальные ключевые данные («сеансовые ключи») для этого соединения извлекаются из этого главного секрета (и случайных значений, генерируемых клиентом и сервером), которые передаются через тщательно разработанную псевдослучайную функцию.
  2. Теперь клиент отправляет ChangeCipherSpec record, по сути сообщая серверу: «Все, что я скажу вам с этого момента, будет аутентифицировано (и зашифровано, если шифрование было согласовано)». ChangeCipherSpec сам является протоколом уровня записи и имеет тип 20, а не 22.
    • Наконец, клиент отправляет зашифрованный Законченный сообщение, содержащее хэш и MAC по сравнению с предыдущими сообщениями подтверждения.
    • Сервер попытается расшифровать клиентский Законченный сообщение и проверьте хэш и MAC. Если расшифровка или проверка завершились неудачно, рукопожатие считается неудачным, и соединение должно быть разорвано.
  3. Наконец, сервер отправляет ChangeCipherSpec, сообщая клиенту: «Все, что я скажу вам с этого момента, будет аутентифицировано (и зашифровано, если шифрование было согласовано)».
    • Сервер отправляет свои зашифрованные Законченный сообщение.
    • Клиент выполняет ту же процедуру дешифрования и проверки, что и сервер на предыдущем шаге.
  4. Фаза приложения: на этом этапе «рукопожатие» завершено, и протокол приложения включен с типом содержимого 23. Сообщения приложений, которыми обмениваются клиент и сервер, также будут зашифрованы точно так же, как и в их Законченный сообщение.

Возобновлено рукопожатие TLS

Операции с открытым ключом (например, RSA) относительно дороги с точки зрения вычислительной мощности. TLS обеспечивает безопасный ярлык в механизме рукопожатия, чтобы избежать этих операций: возобновленные сеансы. Возобновленные сеансы реализуются с использованием идентификаторов сеанса или билетов сеанса.

Помимо повышения производительности, возобновленные сеансы также можно использовать для Единая точка входа, поскольку это гарантирует, что исходный сеанс и любой возобновленный сеанс происходят от одного и того же клиента. Это особенно важно для FTP через TLS / SSL протокол, который в противном случае пострадал бы от атаки «злоумышленник в середине», в которой злоумышленник мог бы перехватить содержимое дополнительных подключений к данным.[303]

Рукопожатие TLS 1.3

Рукопожатие TLS 1.3 было сокращено до одного цикла туда и обратно по сравнению с двумя циклами, которые требовались в предыдущих версиях TLS / SSL.

Сначала клиент отправляет на сервер сообщение clientHello, которое содержит список поддерживаемых шифров в порядке предпочтений клиента и делает предположение о том, какой алгоритм ключа будет использоваться, чтобы он мог отправить секретный ключ для совместного использования в случае необходимости. Угадывая, какой ключевой алгоритм будет использоваться, сервер исключает обход. После получения clientHello сервер отправляет serverHello со своим ключом, сертификатом, выбранным набором шифров и готовым сообщением.

После того, как клиент получает сообщение о завершении сервера, он теперь согласовывает с сервером, какой набор шифров следует использовать.[304]

Идентификаторы сеанса

В обычном полный рукопожатие, сервер отправляет идентификатор сессии как часть СерверПривет сообщение. Клиент связывает это идентификатор сессии с IP-адресом сервера и TCP-портом, чтобы при повторном подключении клиента к этому серверу он мог использовать идентификатор сессии чтобы сократить рукопожатие. На сервере идентификатор сессии сопоставляется с ранее согласованными криптографическими параметрами, в частности с «главным секретом». Обе стороны должны иметь один и тот же «главный секрет», иначе возобновленное рукопожатие не удастся (это не позволяет подслушивателю использовать идентификатор сессии). Случайные данные в Клиент привет и СерверПривет сообщения практически гарантируют, что сгенерированные ключи соединения будут отличаться от ключей в предыдущем соединении. В RFC этот тип рукопожатия называется сокращенный рукопожатие. Он также описывается в литературе как рестарт рукопожатие.

  1. Фаза переговоров:
    • Клиент отправляет Клиент привет сообщение с указанием наивысшей поддерживаемой версии протокола TLS, случайного числа, списка предлагаемых наборов шифров и методов сжатия. В сообщение включен идентификатор сессии из предыдущего TLS-соединения.
    • Сервер отвечает СерверПривет сообщение, содержащее выбранную версию протокола, случайное число, набор шифров и метод сжатия из вариантов, предлагаемых клиентом. Если сервер распознает идентификатор сессии отправленный клиентом, он отвечает тем же идентификатор сессии. Клиент использует это, чтобы распознать, что выполняется возобновленное рукопожатие. Если сервер не распознает идентификатор сессии отправленный клиентом, он отправляет другое значение для своего идентификатор сессии. Это сообщает клиенту, что возобновленное рукопожатие выполняться не будет. На этом этапе и клиент, и сервер имеют «главный секрет» и случайные данные для генерации данных ключа, которые будут использоваться для этого соединения.
  2. Теперь сервер отправляет ChangeCipherSpec запись, по существу говоря клиенту: «Все, что я скажу вам с этого момента, будет зашифровано». ChangeCipherSpec сам по себе является протоколом уровня записи и имеет тип 20, а не 22.
    • Наконец, сервер отправляет зашифрованный Законченный сообщение, содержащее хэш и MAC по сравнению с предыдущими сообщениями подтверждения.
    • Клиент попытается расшифровать серверные Законченный сообщение и проверьте хэш и MAC. Если расшифровка или проверка завершились неудачно, рукопожатие считается неудачным, и соединение должно быть разорвано.
  3. Наконец, клиент отправляет ChangeCipherSpec, сообщая серверу: «Все, что я скажу вам с этого момента, будет зашифровано».
    • Клиент отправляет свой зашифрованный Законченный сообщение.
    • Сервер выполняет ту же процедуру дешифрования и проверки, что и клиент на предыдущем шаге.
  4. Фаза приложения: на этом этапе «рукопожатие» завершено, и протокол приложения включен с типом содержимого 23. Сообщения приложений, которыми обмениваются клиент и сервер, также будут зашифрованы точно так же, как и в их Законченный сообщение.
Билеты на сеанс

RFC  5077 расширяет TLS за счет использования билетов сеанса вместо идентификаторов сеанса. Он определяет способ возобновления сеанса TLS, не требуя, чтобы состояние конкретного сеанса сохранялось на сервере TLS.

При использовании билетов сеанса сервер TLS сохраняет свое зависящее от сеанса состояние в билете сеанса и отправляет билет сеанса клиенту TLS для сохранения. Клиент возобновляет сеанс TLS, отправляя билет сеанса на сервер, а сервер возобновляет сеанс TLS в соответствии с состоянием конкретного сеанса в билете. Билет сеанса зашифровывается и аутентифицируется сервером, и сервер проверяет его действительность перед использованием его содержимого.

Одна из слабых сторон этого метода: OpenSSL заключается в том, что он всегда ограничивает безопасность шифрования и аутентификации передаваемого билета сеанса TLS до AES128-CBC-SHA256, независимо от того, какие другие параметры TLS были согласованы для фактического сеанса TLS.[295] Это означает, что информация о состоянии (билет сеанса TLS) не так хорошо защищена, как сам сеанс TLS. Особую озабоченность вызывает хранение ключей OpenSSL в контексте всего приложения (SSL_CTX), то есть на время жизни приложения, и не допускает повторного ввода ключей AES128-CBC-SHA256 Билеты сеанса TLS без сброса контекста OpenSSL в масштабе всего приложения (что необычно, подвержено ошибкам и часто требует ручного административного вмешательства).[296][294]

Запись TLS

Это общий формат всех записей TLS.

Формат записи TLS, общий
СмещениеБайт +0Байт +1Байт +2Байт +3
Байт
0
Тип содержимогоНет данных
Байтов
1..4
Старая версияДлина
(Главный)(Незначительный)(биты 15..8)(биты 7..0)
Байтов
5..(м−1)
Сообщение (я) протокола
Байтов
м..(п−1)
MAC (необязательный)
Байтов
п..(q−1)
Заполнение (только блочные шифры)
Тип содержимого
Это поле определяет тип протокола уровня записи, содержащийся в этой записи.
Типы контента
HexДекабрьТип
0x1420ChangeCipherSpec
0x1521Тревога
0x1622Рукопожатие
0x1723Заявление
0x1824Сердцебиение
Старая версия
Это поле определяет основную и вспомогательную версии TLS до TLS 1.3 для содержащегося сообщения. Для сообщения ClientHello это не обязательно наибольший версия, поддерживаемая клиентом. Для TLS 1.3 и более поздних версий это должно быть 0x0303, и приложение должно отправлять поддерживаемые версии в дополнительном блоке расширения сообщения.
Версии
Главный
версия
Незначительный
версия
Тип версии
30SSL 3.0
31TLS 1.0
32TLS 1.1
33TLS 1.2
34TLS 1.3
Длина
Длина объединенных полей «протокольных сообщений», «MAC» и «заполнение» (т. Е. q−5), не более 214 байтов (16 КиБ).
Сообщение (я) протокола
Одно или несколько сообщений, указанных в поле «Протокол». Обратите внимание, что это поле может быть зашифровано в зависимости от состояния подключения.
MAC и отступы
А код аутентификации сообщения вычисляется по полю «протокольное сообщение (я)», включая дополнительный ключевой материал. Обратите внимание, что это поле может быть зашифровано или не включаться полностью, в зависимости от состояния соединения.
Никакие поля «MAC» или «padding» не могут присутствовать в конце записей TLS до тех пор, пока все алгоритмы шифрования и параметры не будут согласованы и согласованы, а затем подтверждены путем отправки записи CipherStateChange (см. Ниже) для сигнализации о том, что эти параметры будут действовать во всех дальнейшие записи, отправленные тем же партнером.

Протокол рукопожатия

Большинство сообщений, которыми обмениваются во время настройки сеанса TLS, основаны на этой записи, если только не возникает ошибка или предупреждение, о которых необходимо сигнализировать записью протокола предупреждений (см. Ниже), или если режим шифрования сеанса не изменен другой записью ( см. ниже протокол ChangeCipherSpec).

Формат записи TLS для протокола рукопожатия
СмещениеБайт +0Байт +1Байт +2Байт +3
Байт
0
22Нет данных
Байтов
1..4
Старая версияДлина
(Главный)(Незначительный)(биты 15..8)(биты 7..0)
Байтов
5..8
Тип сообщенияДлина данных сообщения рукопожатия
(биты 23..16)(биты 15..8)(биты 7..0)
Байтов
9..(п−1)
Данные сообщения рукопожатия
Байтов
п..(п+3)
Тип сообщенияДлина данных сообщения рукопожатия
(биты 23..16)(биты 15..8)(биты 7..0)
Байтов
(п+4)..
Данные сообщения рукопожатия
Тип сообщения
Это поле определяет тип сообщения подтверждения.
Типы сообщений
КодОписание
0HelloRequest
1Клиент привет
2СерверПривет
4NewSessionTicket
8EncryptedExtensions (только TLS 1.3)
11Сертификат
12ServerKeyExchange
13CertificateRequest
14СерверHelloDone
15CertificateVerify
16ClientKeyExchange
20Законченный
Длина данных сообщения рукопожатия
Это 3-байтовое поле, указывающее длину данных рукопожатия, не включая заголовок.

Обратите внимание, что несколько сообщений подтверждения могут быть объединены в одной записи.

Протокол оповещения

Эта запись обычно не должна отправляться во время обычного подтверждения связи или обмена приложениями. Однако это сообщение может быть отправлено в любой момент во время рукопожатия и до закрытия сеанса. Если это используется для сигнализации о фатальной ошибке, сеанс будет закрыт сразу после отправки этой записи, поэтому эта запись используется для указания причины этого закрытия. Если уровень предупреждения помечен как предупреждение, удаленное устройство может решить закрыть сеанс, если решит, что сеанс недостаточно надежен для его нужд (перед этим удаленный компьютер также может отправить свой собственный сигнал).

Формат записи TLS для протокола оповещения
СмещениеБайт +0Байт +1Байт +2Байт +3
Байт
0
21Нет данных
Байтов
1..4
Старая версияДлина
(Главный)(Незначительный)02
Байтов
5..6
УровеньОписаниеНет данных
Байтов
7..(п−1)
MAC (необязательный)
Байтов
п..(q−1)
Заполнение (только блочные шифры)
Уровень
В этом поле указывается уровень предупреждения. Если уровень фатальный, отправитель должен немедленно закрыть сеанс. В противном случае получатель может решить прервать сам сеанс, отправив собственное критическое предупреждение и закрыв сам сеанс сразу после его отправки. Использование записей предупреждений необязательно, однако, если они отсутствуют до закрытия сеанса, сеанс может быть возобновлен автоматически (с его рукопожатием).
При нормальном закрытии сеанса после завершения перенесенного приложения желательно предупреждать, по крайней мере, Закрыть уведомить Тип предупреждения (с простым уровнем предупреждения) для предотвращения такого автоматического возобновления нового сеанса. Явная сигнализация о нормальном закрытии безопасного сеанса перед эффективным закрытием его транспортного уровня полезна для предотвращения или обнаружения атак (например, попыток усечения безопасно транспортируемых данных, если они по сути не имеют заранее определенной длины или продолжительности, на которую получатель защищенных данных можно ожидать).
Типы уровней предупреждений
КодТип уровняСостояние подключения
1предупреждениесоединение или безопасность могут быть нестабильными.
2фатальныйсоединение или безопасность могут быть скомпрометированы, или произошла неисправимая ошибка.
Описание
В этом поле указывается тип отправляемого предупреждения.
Типы описания предупреждений
КодОписаниеТипы уровнейПримечание
0Закрыть уведомитьпредупреждение/фатальный
10Неожиданное сообщениефатальный
20Плохая запись MACфатальныйВозможно, плохая реализация SSL или полезная нагрузка была изменена, например Правило брандмауэра FTP на сервере FTPS.
21Расшифровка не удаласьфатальныйТолько TLS, зарезервировано
22Запись переполненафатальныйТолько TLS
30Отказ декомпрессиифатальный
40Ошибка рукопожатияфатальный
41Нет сертификатапредупреждение/фатальныйТолько SSL 3.0, зарезервировано
42Плохой сертификатпредупреждение/фатальный
43Неподдерживаемый сертификатпредупреждение/фатальныйнапример Сертификат имеет только серверную аутентификацию и представлен как сертификат клиента
44Сертификат отозванпредупреждение/фатальный
45Срок действия сертификата истекпредупреждение/фатальныйПроверьте срок действия сертификата сервера, также проверьте, не истек ли срок действия сертификата в представленной цепочке
46Сертификат неизвестенпредупреждение/фатальный
47Недопустимый параметрфатальный
48Неизвестный ЦС (Центр сертификации )фатальныйТолько TLS
49В доступе отказанофатальныйТолько TLS - например, сертификат клиента не был представлен (TLS: пустое сообщение о сертификате или SSLv3: нет предупреждения о сертификате), но сервер настроен на его требование.
50Ошибка декодированияфатальныйТолько TLS
51Расшифровать ошибкупредупреждение/фатальныйТолько TLS
60Ограничение экспортафатальныйТолько TLS, зарезервировано
70Версия протоколафатальныйТолько TLS
71Недостаточная безопасностьфатальныйТолько TLS
80Внутренняя ошибкафатальныйТолько TLS
86Неподходящий откатфатальныйТолько TLS
90Пользователь отмененфатальныйТолько TLS
100Без повторных переговоровпредупреждениеТолько TLS
110Неподдерживаемое расширениепредупреждениеТолько TLS
111Сертификат недоступенпредупреждениеТолько TLS
112Неизвестное имяпредупреждение/фатальныйТолько TLS; клиентский Индикатор имени сервера указано имя хоста, не поддерживаемое сервером
113Ответ о неверном статусе сертификатафатальныйТолько TLS
114Неверное значение хэша сертификатафатальныйТолько TLS
115Неизвестно PSK личность (используется в ТЛС-ПСК и TLS-SRP )фатальныйТолько TLS

Протокол ChangeCipherSpec

Формат записи TLS для протокола ChangeCipherSpec
СмещениеБайт +0Байт +1Байт +2Байт +3
Байт
0
20Нет данных
Байтов
1..4
Старая версияДлина
(Главный)(Незначительный)01
Байт
5
Тип протокола CCSНет данных
Тип протокола CCS
На данный момент только 1.

Протокол приложения

Формат записи TLS для протокола приложения
СмещениеБайт +0Байт +1Байт +2Байт +3
Байт
0
23Нет данных
Байтов
1..4
Старая версияДлина
(Главный)(Незначительный)(биты 15..8)(биты 7..0)
Байтов
5..(м−1)
Данные приложений
Байтов
м..(п−1)
MAC (необязательный)
Байтов
п..(q−1)
Заполнение (только блочные шифры)
Длина
Длина данных приложения (исключая заголовок протокола и включая трейлеры MAC и заполнения)
MAC
32 байта для SHA-256 -основан HMAC, 20 байт для SHA-1 на основе HMAC, 16 байт для MD5 на базе HMAC.
Прокладка
Переменная длина; последний байт содержит длину заполнения.

Поддержка виртуальных серверов на основе имен

С точки зрения прикладного протокола TLS относится к нижнему уровню, хотя модель TCP / IP слишком груба, чтобы это показать. Это означает, что рукопожатие TLS обычно (за исключением STARTTLS case) выполняется до запуска протокола приложения. в виртуальный сервер на основе имени Функция предоставляется на уровне приложения, все совместно размещенные виртуальные серверы используют один и тот же сертификат, поскольку сервер должен выбрать и отправить сертификат сразу после сообщения ClientHello. Это большая проблема в среде хостинга, потому что это означает, что все клиенты используют один и тот же сертификат или используют разные IP-адреса для каждого из них.

Есть два известных обходных пути, предоставляемых X.509:

  • Если все виртуальные серверы принадлежат одному домену, подстановочный сертификат может быть использован.[305] Помимо свободного выбора имени хоста, который может быть проблемой или нет, нет общего соглашения о том, как сопоставить сертификаты с подстановочными знаками. В зависимости от протокола приложения или используемого программного обеспечения применяются разные правила.[306]
  • Добавьте имя каждого виртуального хоста в расширение subjectAltName. Основная проблема заключается в том, что сертификат необходимо перевыпускать всякий раз, когда добавляется новый виртуальный сервер.

Чтобы указать имя сервера, RFC  4366 Расширения безопасности транспортного уровня (TLS) позволяют клиентам включать Индикация имени сервера extension (SNI) в расширенном сообщении ClientHello. Это расширение сразу указывает серверу, какое имя клиент хочет подключиться, поэтому сервер может выбрать соответствующий сертификат для отправки клиентам.

RFC  2817 также описывает метод реализации виртуального хостинга на основе имен путем обновления HTTP до TLS через Заголовок обновления HTTP / 1.1. Обычно это делается для безопасной реализации HTTP через TLS в основном "http" Схема URI (что позволяет избежать разветвления пространства URI и уменьшить количество используемых портов), однако в настоящее время это поддерживается немногими реализациями.[нужна цитата ]

Стандарты

Первичные стандарты

Текущая утвержденная версия TLS - это версия 1.3, которая указана в:

  • RFC  8446: «Протокол безопасности транспортного уровня (TLS) версии 1.3».

Текущий стандарт заменяет предыдущие версии, которые теперь считаются устаревшими:

  • RFC  2246: «Протокол TLS версии 1.0».
  • RFC  4346: «Протокол безопасности транспортного уровня (TLS) версии 1.1».
  • RFC  5246: «Протокол безопасности транспортного уровня (TLS) версии 1.2».

А также никогда не стандартизированные SSL 2.0 и 3.0, которые считаются устаревшими:

Расширения

Другой RFC впоследствии расширил TLS.

Расширения TLS 1.0 включают:

  • RFC  2595: «Использование TLS с IMAP, POP3 и ACAP». Задает расширение для служб IMAP, POP3 и ACAP, которое позволяет серверу и клиенту использовать безопасность транспортного уровня для обеспечения частной аутентифицированной связи через Интернет.
  • RFC  2712: "Добавление Kerberos Комплекты шифров для безопасности транспортного уровня (TLS) ».Наборы 40-битных наборов шифров, определенные в этом документе, появляются только с целью документирования того факта, что эти коды наборов шифров уже были назначены.
  • RFC  2817: «Обновление до TLS в HTTP / 1.1», объясняет, как использовать Механизм обновления в HTTP / 1.1 для инициирования безопасности транспортного уровня (TLS) через существующее TCP-соединение. Это позволяет использовать один и тот же незащищенный и защищенный HTTP-трафик. хорошо известный порт (в данном случае http: at 80, а не https: at 443).
  • RFC  2818: «HTTP Over TLS», отличает защищенный трафик от небезопасного с помощью другого «порта сервера».
  • RFC  3207: «Расширение службы SMTP для безопасного SMTP через безопасность транспортного уровня». Задает расширение для службы SMTP, которое позволяет SMTP-серверу и клиенту использовать безопасность транспортного уровня для обеспечения частной аутентифицированной связи через Интернет.
  • RFC  3268: «Наборы шифров AES для TLS». Добавляет Расширенный стандарт шифрования (AES) комплекты шифров к ранее существовавшим симметричным шифрам.
  • RFC  3546: «Расширения безопасности транспортного уровня (TLS)», добавляет механизм для согласования расширений протокола во время инициализации сеанса и определяет некоторые расширения. Устарело RFC  4366.
  • RFC  3749: «Методы сжатия протокола безопасности транспортного уровня», определяет структуру для методов сжатия и ВЫПУСКАТЬ метод сжатия.
  • RFC  3943: "Сжатие протокола безопасности транспортного уровня (TLS) с использованием Lempel-Ziv-Stac (LZS)".
  • RFC  4132: "Добавление Камелия Комплекты шифров для безопасности транспортного уровня (TLS) ».
  • RFC  4162: "Добавление СЕМЕНА Комплекты шифров для безопасности транспортного уровня (TLS) ».
  • RFC  4217: "Защита FTP с TLS ".
  • RFC  4279: «Наборы шифров с предварительным общим ключом для безопасности транспортного уровня (TLS)», добавляет три набора новых наборов шифров для протокола TLS для поддержки аутентификации на основе предварительно общих ключей.

Расширения TLS 1.1 включают:

  • RFC  4347: "Безопасность на транспортном уровне дейтаграмм "указывает вариант TLS, который работает по протоколам дейтаграмм (например, UDP).
  • RFC  4366: «Расширения безопасности транспортного уровня (TLS)» описывает как набор конкретных расширений, так и общий механизм расширения.
  • RFC  4492: "Криптография с эллиптическими кривыми (ECC) Наборы шифров для безопасности транспортного уровня (TLS) ».
  • RFC  4680: «Сообщение подтверждения TLS для дополнительных данных».
  • RFC  4681: «Расширение сопоставления пользователей TLS».
  • RFC  4785: «Наборы шифров с предварительным общим ключом (PSK) с NULL-шифрованием для безопасности транспортного уровня (TLS)».
  • RFC  5054: "С использованием Безопасный удаленный пароль (SRP) Протокол для аутентификации TLS ». Определяет TLS-SRP шифровальные наборы.
  • RFC  5077: «Возобновление сеанса безопасности транспортного уровня (TLS) без состояния на стороне сервера».
  • RFC  5081: "С помощью OpenPGP Ключи для аутентификации на транспортном уровне (TLS) », устарело RFC  6091.

Расширения TLS 1.2 включают:

  • RFC  5288: "AES Режим счетчика Галуа (GCM) Наборы шифров для TLS ".
  • RFC  5289: «Наборы шифров TLS для эллиптических кривых с SHA-256/384 и режимом счетчика Галуа AES (GCM)».
  • RFC  5746: «Расширение индикации повторного согласования безопасности транспортного уровня (TLS)».
  • RFC  5878: «Расширения авторизации безопасности транспортного уровня (TLS)».
  • RFC  5932: "Наборы шифров Camellia для TLS"
  • RFC  6066: «Расширения безопасности транспортного уровня (TLS): определения расширений», включает Индикация имени сервера и OCSP сшивание.
  • RFC  6091: "С помощью OpenPGP Ключи для аутентификации на транспортном уровне (TLS) ».
  • RFC  6176: «Запрещение уровня защищенных сокетов (SSL) версии 2.0».
  • RFC  6209: "Добавление ARIA Комплекты шифров для безопасности транспортного уровня (TLS) ».
  • RFC  6347: «Версия 1.2 безопасности транспортного уровня дейтаграмм».
  • RFC  6367: «Добавление наборов шифров Camellia к безопасности транспортного уровня (TLS)».
  • RFC  6460: «Профиль Suite B для безопасности транспортного уровня (TLS)».
  • RFC  6655: «Наборы шифров AES-CCM для безопасности транспортного уровня (TLS)».
  • RFC  7027: «Кривые Brainpool для криптографии с эллиптическими кривыми (ECC) для защиты транспортного уровня (TLS)».
  • RFC  7251: "Наборы шифров для шифрования эллиптических кривых (ECC) AES-CCM для TLS".
  • RFC  7301: "Безопасность транспортного уровня (TLS) Согласование протокола уровня приложений Расширение".
  • RFC  7366: «Шифрование, затем MAC для безопасности транспортного уровня (TLS) и безопасности транспортного уровня дейтаграмм (DTLS)».
  • RFC  7465: "Запрещение наборов шифров RC4".
  • RFC  7507: «Значение набора шифров аварийной сигнализации TLS (SCSV) для предотвращения атак на более раннюю версию протокола».
  • RFC  7568: «Прекращение поддержки Secure Sockets Layer версии 3.0».
  • RFC  7627: «Хеш сеанса безопасности транспортного уровня (TLS) и расширенное расширение главного секрета».
  • RFC  7685: «Расширение ClientHello Padding для обеспечения безопасности транспортного уровня (TLS)».

Инкапсуляции TLS включают:

Информационные RFC

  • RFC  7457: «Обобщение известных атак на безопасность транспортного уровня (TLS) и датаграмму TLS (DTLS)»
  • RFC  7525: «Рекомендации по безопасному использованию безопасности транспортного уровня (TLS) и безопасности транспортного уровня дейтаграмм (DTLS)»

Смотрите также

Рекомендации

  1. ^ Р. Барнс; М. Томсон; А. Пиронти; А. Лэнгли (июнь 2015 г.). «Прекращение поддержки Secure Sockets Layer версии 3.0». В архиве из оригинала 28.03.2018.
  2. ^ а б c d е ж Т. Диркс; Э. Рескорла (август 2008 г.). «Протокол безопасности транспортного уровня (TLS), версия 1.2». В архиве из оригинала от 24.12.2017.
  3. ^ SSL: сегодня перехвачено, завтра расшифровано В архиве 2013-09-21 в Wayback Machine, Netcraft, 25 июня 2013 г.
  4. ^ а б Готард, Питер. "Google обновляет SSL-сертификаты до 2048-битного шифрования". Вычисление. Incisive Media. В архиве из оригинала 22 сентября 2013 г.. Получено 9 сентября 2013.
  5. ^ а б А. Фрейер; П. Карлтон; П. Кочер (август 2011 г.). «Протокол уровня защищенных сокетов (SSL) версии 3.0». В архиве из оригинала от 15.01.2012.
  6. ^ Лоуренс, Скотт; Khare, Рохит. «Обновление до TLS в HTTP / 1.1». tools.ietf.org. Получено 15 декабря 2018.
  7. ^ "SSL / TLS в деталях В архиве 2015-02-06 в Wayback Machine ". Microsoft TechNet. Обновлено 30 июля 2003 г.
  8. ^ а б Хупер, Ховард (2012). CCNP Security VPN 642-648 Официальное руководство по сертификации (2-е изд.). Cisco Press. п. 22. ISBN  9780132966382.
  9. ^ а б Спотт, Эндрю; Лик, Том; и другие. "Какой уровень TLS?". Обмен стеками информационной безопасности.
  10. ^ а б Т. Диркс, Э. Рескорла (август 2008 г.). "Вступление". Протокол безопасности транспортного уровня (TLS) версии 1.2. сек. 1. Дои:10.17487 / RFC5246. RFC 5246.
  11. ^ а б c Брайт, Питер (17 октября 2018 г.). «Apple, Google, Microsoft и Mozilla объединились, чтобы положить конец TLS 1.0». Получено 17 октября 2018.
  12. ^ а б «Вот что нового и изменено в Firefox 74.0 Stable - gHacks Tech News». www.ghacks.net. Получено 2020-03-10.
  13. ^ а б «TLS 1.0 и TLS 1.1 - Статус платформы Chrome». chromestatus.com. Получено 2020-03-10.
  14. ^ https://www.circleid.com/posts/20190124_creating_tls_the_pioneering_role_of_ruth_nelson/
  15. ^ Томас Ю. К. Ву, Рагурам Биндинявле, Шауэн Су и Саймон С. Лам, SNP: интерфейс для безопасного сетевого программирования Материалы Летней технической конференции USENIX, июнь 1994
  16. ^ Мессмер, Эллен. «Отец SSL, доктор Тахер Эльгамал, находит быстроразвивающиеся ИТ-проекты на Ближнем Востоке». Сетевой мир. Архивировано из оригинал 31 мая 2014 г.. Получено 30 мая 2014.
  17. ^ Грин, Тим. «Отец SSL говорит, что, несмотря на атаки, стержню безопасности осталось много жизни». Сетевой мир. Архивировано из оригинал 31 мая 2014 г.. Получено 30 мая 2014.
  18. ^ а б Опплигер, Рольф (2016). "Вступление". SSL и TLS: теория и практика (2-е изд.). Артек Хаус. п. 13. ISBN  978-1-60807-999-5. Получено 2018-03-01 - через Google Книги.
  19. ^ «ПРОТОКОЛ SSL». Корпорация Netscape. 2007. Архивировано с оригинал 14 июня 1997 г.
  20. ^ Рескорла 2001
  21. ^ «POODLE: уязвимость SSLv3 (CVE-2014-3566)». В архиве из оригинала 5 декабря 2014 г.. Получено 21 октября 2014.
  22. ^ «Стандарты безопасности и изменение имен в войне браузеров». Получено 2020-02-29.
  23. ^ а б c Полк, Тим; Маккей, Терри; Чохани, Сантош (апрель 2014 г.). «Рекомендации по выбору, настройке и использованию реализаций безопасности транспортного уровня (TLS)» (PDF). Национальный институт стандартов и технологий. п. 67. Архивировано с оригинал (PDF) на 2014-05-08. Получено 2014-05-07.CS1 maint: использует параметр авторов (ссылка на сайт)
  24. ^ Лаура К. Грей (18 декабря 2015 г.). «Изменение даты для перехода с SSL и раннего TLS». Совет по стандартам безопасности индустрии платежных карт блог. Получено 2018-04-05.
  25. ^ Компания «Ньютек» - решения для вашего бизнеса. "Изменения в соответствии с PCI ожидаются 30 июня. Готов ли ваш бизнес электронной коммерции?". Forbes. Получено 2018-06-20.
  26. ^ Диркс, Т. и Э. Рескорла (апрель 2006 г.). «Протокол безопасности транспортного уровня (TLS) версии 1.1». RFC  4346. В архиве из оригинала от 24.12.2017.
  27. ^ Т. Диркс, Э. Рескорла (август 2008 г.). "Законченный". Протокол безопасности транспортного уровня (TLS) версии 1.2. сек. 7.4.9. Дои:10.17487 / RFC5246. RFC 5246.
  28. ^ «Различия между TLS 1.2 и TLS 1.3 (# TLS13)». WolfSSL. 18 сентября 2019. Архивировано с оригинал 19 сентября 2019 г.. Получено 18 сентября 2019.
  29. ^ «Примечания к выпуску NSS 3.29». Сеть разработчиков Mozilla. Февраль 2017 г. В архиве из оригинала от 22.02.2017.
  30. ^ «Включить TLS 1.3 по умолчанию». Bugzilla @ Mozilla. 16 октября 2016 г.. Получено 10 октября 2017.
  31. ^ «Firefox - Заметки (60.0)». Mozilla. Получено 2018-05-10.
  32. ^ «ProxySG, ASG и WSS будут прерывать SSL-соединения, когда клиенты, использующие TLS 1.3, получают доступ к сайтам, также использующим TLS 1.3». BlueTouch Интернет. 16 мая 2017. В архиве из оригинала 12 сентября 2017 г.. Получено 11 сентября 2017.
  33. ^ «TLS 1.3 IETF 100 Hackathon». Архивировано из оригинал на 2018-01-15.
  34. ^ а б IETF - Инженерная группа Интернета (2017-11-12), Презентации и награды IETF Hackathon, получено 2017-11-14
  35. ^ «Ура! TLS 1.3 уже здесь. Теперь нужно реализовать его и внедрить в программное обеспечение». Получено 2018-03-28.
  36. ^ IETF - Инженерная группа Интернета (2018-07-15), IETF102-HACKATHON-20180715-1400, получено 2018-07-18
  37. ^ «Доступна бета-версия wolfSSL TLS 1.3». [email protected]. 11 мая 2017. Получено 11 мая 2017.
  38. ^ «ПОДДЕРЖКА ПРОТОКОЛА TLS 1.3». [email protected].
  39. ^ "Поддержка TLS 1.3 Draft 28 в wolfSSL". [email protected]. 14 июня 2018 г.. Получено 14 июн 2018.
  40. ^ «Выпущен OpenSSL 1.1.1». Мэтт Касвелл. 11 сен 2018. Получено 19 декабря 2018.
  41. ^ Хоффман-Эндрюс, Джейкоб (26.02.2019). «ETS - это не TLS, и вам не следует его использовать». Фонд электронных рубежей. Получено 2019-02-27.
  42. ^ Ри, Скотт (2013). «Альтернативы центрам сертификации для безопасного Интернета» (PDF). Конференция RSA в Азиатско-Тихоокеанском регионе. В архиве (PDF) из оригинала 7 октября 2016 г.. Получено 7 сентября 2016.
  43. ^ Подсчет SSL-сертификатов; netcraft; 13 мая 2015 года. В архиве 16 мая 2015 г. Wayback Machine
  44. ^ Раймонд, Арт (3 августа 2017 г.). «DigiCert от Lehi поглощает конкурента по веб-безопасности за 1 миллиард долларов». Deseret News. Получено 21 мая 2020.
  45. ^ «Тенденции рыночной доли центров сертификации SSL». W3Techs. Получено 21 мая 2020.
  46. ^ Устройство правоохранительных органов подрывает SSL В архиве 2014-03-15 в Wayback Machine, Wired, 3 апреля 2010 г.
  47. ^ Новое исследование предполагает, что правительства могут подделывать сертификаты SSL В архиве 2016-01-04 в Wayback Machine, EFF, 24 марта 2010 г.
  48. ^ П. Эронен, Под ред. «Наборы шифров с предварительным общим ключом для безопасности транспортного уровня (TLS)». Инженерная группа Интернета. RFC  4279. В архиве из оригинала 5 сентября 2013 г.. Получено 9 сентября 2013.
  49. ^ Д. Тейлор, Под ред. «Использование протокола защищенного удаленного пароля (SRP) для аутентификации TLS». Инженерная группа Интернета. RFC  5054. В архиве с оригинала 7 декабря 2014 г.. Получено 21 декабря, 2014.
  50. ^ «Значение 2048-битного шифрования: почему важна длина ключа шифрования». ПоискБезопасность. В архиве из оригинала на 2018-01-16. Получено 2017-12-18.
  51. ^ Шон Тернер (17 сентября 2015 г.). «Консенсус: удалить DSA из TLS 1.3». В архиве с оригинала 3 октября 2015 г.
  52. ^ RFC 8422
  53. ^ RFC  5288, 5289
  54. ^ RFC  6655, 7251
  55. ^ RFC  6367
  56. ^ RFC  5932, 6367
  57. ^ а б RFC  6209
  58. ^ RFC  4162
  59. ^ «О практической (не) безопасности 64-битных блочных шифров - коллизионные атаки на HTTP через TLS и OpenVPN» (PDF). 2016-10-28. В архиве (PDF) из оригинала на 24.04.2017. Получено 2017-06-08.
  60. ^ "Специальная публикация NIST 800-57 Рекомендация по управлению ключами - Часть 1: Общие (пересмотренная)" (PDF). 2007-03-08. Архивировано из оригинал (PDF) 6 июня 2014 г.. Получено 2014-07-03.
  61. ^ а б c Qualys SSL Labs. «Рекомендации по развертыванию SSL / TLS». В архиве из оригинала 4 июля 2015 г.. Получено 2 июн 2015.
  62. ^ RFC  5469
  63. ^ RFC  7905
  64. ^ Шифры AEAD
  65. ^ "Http vs https". В архиве из оригинала от 12.02.2015. Получено 2015-02-12.
  66. ^ а б c d По состоянию на 24 сентября 2020 г. «SSL Pulse: обзор внедрения SSL на самых популярных веб-сайтах». Qualys. Получено 2020-09-24.
  67. ^ а б ivanr. "RC4 в TLS сломан: что теперь?". Qualsys Security Labs. В архиве из оригинала от 27.08.2013. Получено 2013-07-30.
  68. ^ а б c Бодо Мёллер, Тайский дуонг и Кшиштоф Котович. "Укусы этого пуделя: использование запасного варианта SSL 3.0" (PDF). В архиве (PDF) с оригинала на 2014-10-14. Получено 2014-10-15.
  69. ^ «Какие браузеры поддерживают расширенную проверку (EV) и отображают индикатор EV?». Symantec. Архивировано из оригинал 31 декабря 2015 г.. Получено 2014-07-28.
  70. ^ а б c d е ж грамм час я j k л м п «Совместимость с SHA-256». В архиве из оригинала от 01.07.2015. Получено 2015-06-12.
  71. ^ а б c d е ж грамм час я j k л м п о п q р s т ты v ш Икс у z аа ab «Совместимость с ECC». В архиве из оригинала на 17.02.2016. Получено 2015-06-13.
  72. ^ а б "Отслеживание FREAK-атаки". В архиве из оригинала от 06.03.2015. Получено 2015-03-08.
  73. ^ а б "FREAK: факторинг ключей экспорта RSA". В архиве из оригинала на 2015-03-11. Получено 2015-03-08.
  74. ^ Google (29 мая 2012 г.). «Обновление канала разработчиков». В архиве из оригинала от 02.03.2013. Получено 2011-06-01.
  75. ^ Google (21.08.2012). «Стабильное обновление канала». В архиве из оригинала 2012-08-25. Получено 2012-08-22.
  76. ^ Chromium Project (30 мая 2013 г.). «Реализация Chromium TLS 1.2».
  77. ^ "Проект Chromium: BoringSSL". В архиве из оригинала от 23.09.2015. Получено 2015-09-05.
  78. ^ а б «Стабильная версия Chrome». Выпуски Chrome. 2011-10-25. В архиве из оригинала от 20.02.2015. Получено 2015-02-01.
  79. ^ "Журнал изменений SVN в выпуске Chrome 10.0.648.127". Архивировано из оригинал на 2014-06-19. Получено 2014-06-19.
  80. ^ а б «Императорская фиалка - ПРЕСТУПЛЕНИЕ». 2012-09-22. В архиве из оригинала от 10.01.2015. Получено 2014-10-18.
  81. ^ а б «Обзор SSL / TLS». 2008-08-06. В архиве из оригинала от 03.07.2013. Получено 2013-03-29.
  82. ^ а б «Проблема хрома 90392». 2008-08-06. В архиве из оригинала от 03.08.2013. Получено 2013-06-28.
  83. ^ а б «Проблема 23503030, объединение 219882». 2013-09-03. В архиве из оригинала от 26.02.2014. Получено 2013-09-19.
  84. ^ а б «Проблема 278370: невозможно отправить клиентские сертификаты через TLS 1.2 из Windows». 2013-08-23. В архиве из оригинала от 05.10.2013. Получено 2013-10-03.
  85. ^ Мёллер, Бодо (2014-10-14). "Этот ПУДЛЬ кусается: использование запасного варианта SSL 3.0". Блог Google Online Security. Google (через Blogspot). В архиве с оригинала от 28.10.2014. Получено 2014-10-28.
  86. ^ а б c «Обновление SSLv3 в Chrome». Security-dev. 2014-10-31. Получено 2014-11-04.
  87. ^ «Стабильное обновление канала». Сеть разработчиков Mozilla. 2014-02-20. В архиве из оригинала на 2014-10-24. Получено 2014-11-14.
  88. ^ "Список изменений для Chrome 33.0.1750.117". Google. Архивировано из оригинал на 2014-01-16. Получено 2014-11-14.
  89. ^ «Проблема 318442: обновление до NSS 3.15.3 и NSPR 4.10.2». В архиве из оригинала 15.03.2015. Получено 2014-11-14.
  90. ^ а б c d е «Проблема 693963003: добавьте минимальный контроль версий TLS в about: flags и Finch заблокируйте его. - Проверка кода». В архиве из оригинала от 16.04.2015. Получено 2015-01-22.
  91. ^ а б c «Проблема 375342: отказ от поддержки RC4». В архиве из оригинала от 12.09.2015. Получено 2015-05-22.
  92. ^ а б «Ошибка 436391: добавить в документацию информацию об окончании срока действия политики SSLVersionFallbackMin и SSLVersionMin». В архиве из оригинала от 18.04.2015. Получено 2015-04-19.
  93. ^ «Проблема 490240: увеличение минимального размера DH до 1024 бит (ошибка отслеживания)». В архиве из оригинала от 12.09.2015. Получено 2015-05-29.
  94. ^ а б c d е ж грамм час я j «Намерение отказаться от поддержки: RC4». Получено 2015-12-21.
  95. ^ а б c d е ж грамм час я j «Обновление сертификатов SHA-1 в Chrome». 2015-12-18. В архиве из оригинала 18.12.2015. Получено 2015-12-21.
  96. ^ https://docs.microsoft.com/en-us/microsoft-edge/web-platform/site-impacting-changes
  97. ^ а б c d «Безопасность в Firefox 2». 2008-08-06. В архиве из оригинала 2014-07-14. Получено 2009-03-31.
  98. ^ а б «Атака на TLS-защищенные коммуникации». Блог о безопасности Mozilla. Mozilla. 2011-09-27. В архиве из оригинала от 04.03.2015. Получено 2015-02-01.
  99. ^ а б «Введение в SSL». MDN. В архиве из оригинала 2014-07-14. Получено 2014-06-19.
  100. ^ а б «Примечания к выпуску NSS 3.15.3». Сеть разработчиков Mozilla. Mozilla. В архиве из оригинала на 2014-06-05. Получено 2014-07-13.
  101. ^ а б «MFSA 2013-103: Прочие уязвимости служб сетевой безопасности (NSS)». Mozilla. Mozilla. В архиве из оригинала 2014-07-14. Получено 2014-07-13.
  102. ^ «Ошибка 565047 - (RFC4346) Реализация TLS 1.1 (RFC 4346)». Получено 2013-10-29.
  103. ^ «Ошибка 480514 - реализация поддержки TLS 1.2 (RFC 5246)». Получено 2013-10-29.
  104. ^ «Ошибка 733647 - реализация TLS 1.1 (RFC 4346) в Gecko (Firefox, Thunderbird) включена по умолчанию». Получено 2013-12-04.
  105. ^ а б «Заметки о Firefox - Рабочий стол». 2014-02-04. В архиве из оригинала от 07.02.2014. Получено 2014-02-04.
  106. ^ «Ошибка 861266 - реализация TLS 1.2 (RFC 5246) в Gecko (Firefox, Thunderbird) включена по умолчанию». Получено 2013-11-18.
  107. ^ а б c «Атака POODLE и конец SSL 3.0». Блог Mozilla. Mozilla. 2014-10-14. В архиве из оригинала 18.10.2014. Получено 2014-10-28.
  108. ^ «Firefox - Notes (34.0) - Mozilla». mozilla.org. 2014-12-01. В архиве из оригинала 2015-04-09. Получено 2015-04-03.
  109. ^ «Ошибка 1083058 - настройка для управления откатом версии TLS». bugzilla.mozilla.org. Получено 2014-11-06.
  110. ^ «Ошибка 1036737 - добавление поддержки draft-ietf-tls-downgrade-scsv в Gecko / Firefox». bugzilla.mozilla.org. Получено 2014-10-29.
  111. ^ а б c «Ошибка 1166031 - обновление до NSS 3.19.1». bugzilla.mozilla.org. Получено 2015-05-29.
  112. ^ «Ошибка 1088915 - Перестаньте предлагать RC4 при первых рукопожатиях». bugzilla.mozilla.org. Получено 2014-11-04.
  113. ^ «Firefox - Notes (39.0) - Mozilla». mozilla.org. 2015-06-30. В архиве из оригинала от 03.07.2015. Получено 2015-07-03.
  114. ^ «Google, Microsoft и Mozilla откажутся от шифрования RC4 в Chrome, Edge, IE и Firefox в следующем году». VentureBeat. 2015-09-01. В архиве из оригинала от 05.09.2015. Получено 2015-09-05.
  115. ^ «Намерение отправить: RC4 отключен по умолчанию в Firefox 44». В архиве из оригинала от 22.01.2011. Получено 2015-10-18.
  116. ^ «RC4 теперь разрешен только на сайтах из белого списка (отменено)». Получено 2015-11-02.
  117. ^ «Firefox - Notes (44.0) - Mozilla». mozilla.org. 2016-01-26. В архиве из оригинала от 04.03.2016. Получено 2016-03-09.
  118. ^ «Ошибка 1342082 - отключение TLS 1.3 для выпуска FF52». Получено 2017-03-29.
  119. ^ а б https://www.mozilla.org/en-US/firefox/78.0/releasenotes/
  120. ^ «История изменений Opera 9.0 для Windows». В архиве из оригинала от 10.09.2012.
  121. ^ «Опера 2 серии». В архиве с оригинала от 23.10.2014. Получено 2014-09-20.
  122. ^ «Опера 3 серии». В архиве с оригинала от 23.10.2014. Получено 2014-09-20.
  123. ^ «Опера 4 серии». В архиве с оригинала от 23.10.2014. Получено 2014-09-20.
  124. ^ а б «Список изменений для Opera 5.x для Windows». В архиве с оригинала на 2014-10-19. Получено 2014-06-19.
  125. ^ «Список изменений для Opera [8] Beta 2 для Windows». В архиве из оригинала 23.11.2005. Получено 2014-06-19.
  126. ^ «Веб-спецификации, поддерживаемые в Opera 9». В архиве с оригинала от 26.10.2014. Получено 2014-06-19.
  127. ^ а б «Opera: журнал изменений Opera 10 beta для Windows». Архивировано из оригинал 2014-10-23. Получено 2014-06-19.
  128. ^ «Об Opera 11.60 и новых проблемах с некоторыми защищенными серверами». 2011-12-11. Архивировано из оригинал на 18 января 2012 г.
  129. ^ а б c «Изменения безопасности в Opera 25; нападение пуделя». 2014-10-15. В архиве с оригинала на 2014-10-20. Получено 2014-10-28.
  130. ^ а б c d «Разбейте затор». 2015-06-09. В архиве из оригинала на 2015-06-14. Получено 2015-06-11.
  131. ^ «Сообщение: протокол шифрования RC4 уязвим для некоторых атак методом грубой силы». 2013-04-04. В архиве из оригинала 15.03.2015. Получено 2014-11-14.
  132. ^ «О неустойчивости RC4». 2013-03-20. Архивировано из оригинал на 2013-11-12. Получено 2014-11-17.
  133. ^ а б c d е «Обновление безопасности Opera 12 и Opera Mail». 2016-02-16. В архиве из оригинала от 16.02.2016. Получено 2016-02-17.
  134. ^ "Dev.Opera - вышла Opera 14 для Android!". 2013-05-21. В архиве из оригинала 30.01.2015. Получено 2014-09-23.
  135. ^ «Dev.Opera - Представляем Opera 15 для компьютеров и быстрый цикл выпуска». 2013-07-02. В архиве из оригинала от 02.09.2014. Получено 2014-09-23.
  136. ^ а б то же, что Chrome 26–29
  137. ^ а б так же, как Chrome 30 и новее
  138. ^ а б так же, как Chrome 33 и новее
  139. ^ Microsoft (05 сентября 2012 г.). «Безопасный канал». В архиве из оригинала от 29.08.2012. Получено 2012-10-18.
  140. ^ Microsoft (27 февраля 2009 г.). «Приложение A MS-TLSP». В архиве из оригинала от 27.09.2013. Получено 2009-03-19.
  141. ^ а б "Какие браузеры поддерживают только SSLv2?". Получено 2014-06-19.
  142. ^ а б c d "SHA2 и Windows - блог Windows PKI - главная страница - блоги TechNet". 2010-09-30. В архиве из оригинала 16.07.2014. Получено 2014-07-29.
  143. ^ а б c d е «Улучшения безопасности HTTPS в Internet Explorer 7». В архиве с оригинала от 10.10.2013. Получено 2013-10-29.
  144. ^ «Наборы шифров TLS». Microsoft. В архиве из оригинала от 13.03.2017.
  145. ^ «Архивная копия». В архиве из оригинала на 2015-03-11. Получено 2017-07-19.CS1 maint: заархивированная копия как заголовок (ссылка на сайт)
  146. ^ а б c d е ж грамм «Уязвимость в Schannel делает возможным обход функции безопасности (3046049)». 2015-03-10. В архиве из оригинала от 13.03.2017. Получено 2015-03-11.
  147. ^ а б c d е ж грамм «Уязвимость в Schannel делает возможным раскрытие информации (3061518)». 2015-05-12. В архиве из оригинала на 2016-10-08. Получено 2015-05-22.
  148. ^ а б c d «Обновление для добавления поддержки TLS 1.1 и TLS 1.2 в Windows Server 2008 SP2, Windows Embedded POSReady 2009 и Windows Embedded Standard 2009». Получено 2017-07-19.
  149. ^ а б «В Windows 7 добавлена ​​поддержка TLSv1.1 и TLSv1.2 - IEInternals - Домашняя страница сайта - Блоги MSDN». В архиве из оригинала от 26.12.2013. Получено 2013-10-29.
  150. ^ Томлинсон, Мэтт (11 ноября 2014 г.). «Сотни миллионов клиентов Microsoft теперь извлекают выгоду из лучшего в своем классе шифрования». Безопасность Microsoft. В архиве из оригинала от 14.11.2014. Получено 2014-11-14.
  151. ^ Совет по безопасности Microsoft: обновление для отключения RC4 В архиве 2015-03-11 в Wayback Machine
  152. ^ а б c d Microsoft (24 сентября 2013 г.). «Изменения IE11». В архиве из оригинала 30.10.2013. Получено 2013-11-01.
  153. ^ «Обновления безопасности для Internet Explorer за февраль 2015 г.». 2015-02-11. В архиве из оригинала от 11.02.2015. Получено 2015-02-11.
  154. ^ «Обновление включает настройку отключения резервной копии SSL 3.0 для сайтов в защищенном режиме по умолчанию в Internet Explorer 11». В архиве из оригинала от 14.02.2015. Получено 2015-02-11.
  155. ^ «Уязвимость в SSL 3.0 делает возможным раскрытие информации». 2015-04-14. В архиве из оригинала на 2016-10-08. Получено 2015-04-14.
  156. ^ Команда Microsoft Edge (09.08.2016). «RC4 теперь отключен в Microsoft Edge и Internet Explorer 11». Microsoft. В архиве из оригинала от 21.08.2016.
  157. ^ «Internet Explorer 11 для Windows Server 2012 и Windows Embedded 8 Standard». Служба поддержки Microsoft. 2019-04-16.
  158. ^ а б c d е «Изменения TLS (Schannel SSP) в Windows 10 и Windows Server 2016». Microsoft. 2017-03-21. Архивировано из оригинал на 2017-03-30. Получено 2017-03-29.
  159. ^ https://blogs.windows.com/windows-insider/2020/07/15/announcing-windows-10-insider-preview-build-20170/
  160. ^ а б c d «Какие браузеры работают с универсальным SSL». В архиве из оригинала от 04.03.2016. Получено 2015-06-15.
  161. ^ «Уязвимость POODLE SSL - защитите свой Windo… - Разработка и взлом Windows Phone 8». Разработчики XDA. В архиве из оригинала от 23.09.2016.
  162. ^ а б «Какая версия TLS используется в Windows Phone 8 для безопасных HTTP-соединений?». Microsoft. В архиве из оригинала от 04.03.2016. Получено 2014-11-07.
  163. ^ «Qualys SSL Labs - Проекты / Возможности пользовательского агента: неизвестно». В архиве из оригинала от 01.03.2017.
  164. ^ а б «Безопасность платформы». Microsoft. 2014-06-25. В архиве из оригинала от 13.03.2017. Получено 2014-11-07.
  165. ^ «Примечания к выпуску: важные проблемы в предварительной версии Windows 8.1». Microsoft. 2013-06-24. В архиве из оригинала от 04.11.2014. Получено 2014-11-04.
  166. ^ «W8.1 (IE11) против RC4». Сообщество Qualys. В архиве из оригинала от 04.11.2014. Получено 2014-11-04.
  167. ^ Адриан, Димцев. «Реализованы общие браузеры / библиотеки / серверы и связанные с ними наборы шифров». Проект TLS Cipher Suites. В архиве из оригинала от 17.04.2013.
  168. ^ "Особенности". Сафари. Яблоко. 2009-06-10. В архиве из оригинала от 17.04.2013. Получено 2009-06-10.
  169. ^ «Curl: патч для добавления поддержки TLS 1.1 и 1.2 и замены устаревших функций в SecureTransport». Швеция: haxx.se. В архиве из оригинала от 01.03.2017.
  170. ^ Отчет Qualys SSL: google.co.uk В архиве 2017-03-20 в Wayback Machine (имитация Safari 5.1.9 TLS 1.0)
  171. ^ «Apple защищает Mac OS X с помощью выпуска Mavericks». Планета электронной безопасности. 2013-10-25. В архиве из оригинала 2014-07-08. Получено 2014-06-23.
  172. ^ Ристич, Иван (10.09.2013). "ЗВЕРЬ все еще угроза?". Qualys. В архиве из оригинала от 12.10.2014.
  173. ^ а б Ристич, Иван (31 октября 2013 г.). «Apple включила средства защиты от BEAST в OS X 10.9 Mavericks». В архиве из оригинала от 07.11.2013. Получено 2013-11-07.
  174. ^ Ристич, Иван (26 февраля 2014 г.). «Apple наконец-то выпускает патч для BEAST». Qualys. В архиве из оригинала 2014-07-14. Получено 2014-07-01.
  175. ^ «Об обновлении безопасности 2014-005». Статья в базе знаний службы поддержки Apple. Яблоко. В архиве из оригинала от 24.10.2014.
  176. ^ «О безопасности iOS 8.1». Статья в базе знаний службы поддержки Apple. Яблоко. В архиве из оригинала от 23.10.2014.
  177. ^ а б c «Об обновлении безопасности 2015-002». Статья в базе знаний службы поддержки Apple. Яблоко. В архиве из оригинала от 16.03.2015. Получено 2015-03-09.
  178. ^ а б «О безопасности OS X Mavericks v10.9». В архиве из оригинала 2014-07-04. Получено 2014-06-20.
  179. ^ «Возможности пользовательского агента: Safari 8 / OS X 10.10». Qualys SSL Labs. В архиве из оригинала от 06.09.2015. Получено 2015-03-07.
  180. ^ «О безопасности OS X Yosemite v10.10.4 и обновлении безопасности 2015-005». В архиве из оригинала от 02.07.2015. Получено 2015-07-03.
  181. ^ а б Поли, Томми (2019-01-29). «TLS 1.3 в iOS». [email protected] (Список рассылки).
  182. ^ а б c «Техническое примечание TN2287 - Проблемы взаимодействия iOS 5 и TLS 1.2». Яблоко. 2011-10-14. В архиве из оригинала от 07.09.2011. Получено 2012-12-10.
  183. ^ Либовиц, Мэтт (2011-10-13). «Apple выпускает огромные исправления безопасности программного обеспечения». Новости NBC. Получено 2012-12-10.
  184. ^ MWR Info Security (16 апреля 2012 г.). «Приключения с iOS UIWebviews». В архиве из оригинала от 17.04.2013. Получено 2012-12-10., раздел «HTTPS (SSL / TLS)»
  185. ^ «Справочник по безопасному транспорту». В архиве из оригинала от 04.06.2014. Получено 2014-06-23. kSSLProtocol2 устарело в iOS
  186. ^ «iPhone 3.0: Mobile Safari получает улучшенную визуализацию сертификата безопасности». Блог iPhone. 31 марта 2009 г. Архивировано из оригинал на 2009-04-03.
  187. ^ «Возможности проектов / пользовательского агента: Safari 7 / iOS 7.1». Qualys SSL Labs. В архиве из оригинала от 13.03.2017.
  188. ^ щуртертом (2013-10-11). «Запрос SOAP не выполняется случайным образом на одном сервере, но работает на другом на iOS7». Переполнение стека. Получено 2014-01-05.
  189. ^ «Возможности пользовательского агента: Safari 8 / iOS 8.1.2». Qualys SSL Labs. В архиве из оригинала от 04.03.2016. Получено 2015-03-07.
  190. ^ «О безопасности iOS 8.2». Статья в базе знаний службы поддержки Apple. Яблоко. В архиве из оригинала от 09.03.2015. Получено 2015-03-09.
  191. ^ «О безопасности iOS 8.4». В архиве из оригинала от 03.07.2015. Получено 2015-07-03.
  192. ^ "SSLSocket | Разработчики Android". В архиве из оригинала 18.03.2015. Получено 2015-03-11.
  193. ^ а б c d "SSLSocket | Разработчики Android". В архиве из оригинала от 04.03.2016. Получено 2015-12-17.
  194. ^ а б «Изменения в поведении Android 5.0 | Разработчики Android». В архиве из оригинала от 09.03.2015. Получено 2015-03-11.
  195. ^ «Изменения в поведении Android 8.0». В архиве из оригинала от 01.12.2017.
  196. ^ Oracle. «7093640: включить TLS 1.2 на стороне клиента по умолчанию». Получено 2018-08-30.
  197. ^ Oracle. "JEP 332: Безопасность транспортного уровня (TLS) 1.3". Получено 2018-08-30.
  198. ^ «Версия 1.11.13, 2015-01-11 - Ботан». 2015-01-11. Архивировано из оригинал на 2015-01-09. Получено 2015-01-16.
  199. ^ "[gnutls-devel] Выпущен GnuTLS 3.4.0". 2015-04-08. В архиве из оригинала от 16.04.2015. Получено 2015-04-16.
  200. ^ "[gnutls-devel] gnutls 3.6.4". 2018-09-24. Получено 2020-05-18.
  201. ^ «Примечания к выпуску Java ™ SE Development Kit 8, обновление 31». В архиве из оригинала от 21.01.2015. Получено 2015-01-22.
  202. ^ «Выпущена OpenBSD 5.6». 2014-11-01. Получено 2015-01-20.
  203. ^ «Выпущен LibreSSL 2.3.0». 2015-09-23. Получено 2015-09-24.
  204. ^ https://ftp.openbsd.org/pub/OpenBSD/LibreSSL/libressl-3.2.2-relnotes.txt
  205. ^ https://github.com/libressl-portable/portable/issues/228
  206. ^ "MatrixSSL - Новости". Архивировано из оригинал на 2015-02-14. Получено 2014-11-09.
  207. ^ "Выпущен mbed TLS 2.0.0". 2015-07-10. В архиве из оригинала от 25.09.2015. Получено 2015-07-14.
  208. ^ «Примечания к выпуску NSS 3.19». Сеть разработчиков Mozilla. Mozilla. В архиве из оригинала на 2015-06-05. Получено 2015-05-06.
  209. ^ «Примечания к выпуску NSS 3.14». Сеть разработчиков Mozilla. Mozilla. В архиве из оригинала от 17.01.2013. Получено 2012-10-27.
  210. ^ «Примечания к выпуску NSS 3.15.1». Сеть разработчиков Mozilla. Mozilla. В архиве из оригинала от 22.09.2013. Получено 2013-08-10.
  211. ^ «Примечания к выпуску NSS 3.39». 2018-08-31. Получено 2018-09-14.
  212. ^ «Примечания к выпуску OpenSSL 1.1.0 Series». В архиве из оригинала на 2016-08-25. Получено 2016-10-02.
  213. ^ а б «Основные изменения между OpenSSL 1.0.0h и OpenSSL 1.0.1 [14 марта 2012 г.]». 2012-03-14. Архивировано из оригинал 20 января 2015 г.. Получено 2015-01-20.
  214. ^ «Выпущен OpenSSL 1.1.1». 2018-09-11. Получено 2018-09-14.
  215. ^ Комплекты шифров TLS в Microsoft Windows XP и 2003 В архиве 2015-01-18 на Wayback Machine
  216. ^ а б Наборы шифров SChannel в Microsoft Windows Vista В архиве 2015-01-12 в Wayback Machine
  217. ^ а б c Наборы шифров TLS в SChannel для Windows 7, 2008R2, 8, 2012 В архиве 2015-03-19 в Wayback Machine
  218. ^ "[wolfssl] wolfSSL 3.6.6 выпущен". 2015-08-20. В архиве из оригинала на 2015-10-17. Получено 2015-08-25.
  219. ^ "[wolfssl] wolfSSL TLS1.3 поддержка". 2017-02-13. Получено 2017-02-13.
  220. ^ «Примечания к выпуску NSS 3.24». Сеть разработчиков Mozilla. Mozilla. В архиве из оригинала от 26.08.2016. Получено 2016-06-19.
  221. ^ «Техническое примечание TN2287: проблемы взаимодействия iOS 5 и TLS 1.2». Библиотека разработчика iOS. Apple Inc. В архиве из оригинала от 03.04.2015. Получено 2012-05-03.
  222. ^ Qualys SSL Labs - проекты / возможности пользовательского агента В архиве 2015-09-19 в Wayback Machine
  223. ^ Георгиев, Мартин и Айенгар, Субодх и Джана, Суман и Анубхай, Ришита и Бонех, Дан и Шматиков, Виталий (2012). Самый опасный код в мире: проверка SSL-сертификатов в небраузерном ПО. Материалы конференции ACM 2012 г. по компьютерной и коммуникационной безопасности (PDF). С. 38–49. ISBN  978-1-4503-1651-4. В архиве (PDF) из оригинала от 22.10.2017.CS1 maint: несколько имен: список авторов (ссылка на сайт)
  224. ^ «Использование схемы SIPS URI в протоколе инициации сеанса (SIP)». RFC  5630.
  225. ^ Йорис Классенс; Валентин Дем; Дэнни Де Кок; Барт Пренил; Джоос Вандевалле (2002). «О безопасности современных электронных банковских систем» (PDF). Компьютеры и безопасность. 21 (3): 253–265. Дои:10.1016 / S0167-4048 (02) 00312-7.
  226. ^ Лоуренс, Эрик (2005-10-22). «IEBlog: предстоящие улучшения HTTPS в Internet Explorer 7 Beta 2». MSDN Блоги. В архиве из оригинала от 17.04.2013. Получено 2007-11-25.
  227. ^ «Bugzilla @ Mozilla - Ошибка 236933 - отключение SSL2 и других слабых шифров». Mozilla Corporation. Получено 2007-11-25.
  228. ^ «История изменений Opera 9.5 для Windows» В архиве 2009-06-26 на Wayback Machine в Opera.com: "Отключен SSL v2 и слабые шифры."
  229. ^ «История изменений Opera 10 для Windows» В архиве 2013-03-26 в Wayback Machine в Opera.com: "Убрана поддержка SSL v2 и слабых шифров"
  230. ^ Петтерсен, Ингве (30 апреля 2007 г.). «10 лет SSL в Opera - примечания разработчика». Программное обеспечение Opera. Архивировано из оригинал 12 октября 2007 г.. Получено 2007-11-25.
  231. ^ Национальный институт стандартов и технологий (декабрь 2010 г.). «Руководство по внедрению FIPS PUB 140-2 и программы проверки криптографических модулей» (PDF). Архивировано из оригинал (PDF) 6 ноября 2010 г.
  232. ^ «Обобщение известных атак на безопасность транспортного уровня (TLS) и датаграмму TLS (DTLS)». RFC  7457. В архиве из оригинала от 04.03.2016.
  233. ^ "CVE - CVE-2009-3555". В архиве из оригинала от 04.01.2016.
  234. ^ Эрик Рескорла (2009-11-05). «Понимание атаки повторного согласования TLS». Образованные догадки. В архиве из оригинала от 09.02.2012. Получено 2009-11-27.
  235. ^ "SSL_CTX_set_options SECURE_RENEGOTIATION". Документы OpenSSL. 2010-02-25. В архиве из оригинала 26.11.2010. Получено 2010-11-18.
  236. ^ «Выпущен GnuTLS 2.10.0». Примечания к выпуску GnuTLS. 2010-06-25. В архиве из оригинала от 09.02.2012. Получено 2011-07-24.
  237. ^ «Примечания к выпуску NSS 3.12.6». Примечания к выпуску NSS. 2010-03-03. Архивировано из оригинал 6 марта 2012 г.. Получено 2011-07-24.
  238. ^ А. Лэнгли; Н. Модадугу; Б. Мёллер (02.06.2010). «Фальстарт безопасности транспортного уровня (TLS)». Инженерная группа Интернета. IETF. В архиве из оригинала от 05.09.2013. Получено 2013-07-31.
  239. ^ Грюнер, Вольфганг. «Ложный старт: Google предлагает более быстрый Интернет, Chrome уже поддерживает». Архивировано из оригинал на 2010-10-07. Получено 2011-03-09.
  240. ^ Смит, Брайан. «Атаки с ограниченным откатом при ложном запуске и мгновенном запуске». В архиве из оригинала 2011-05-04. Получено 2011-03-09.
  241. ^ Димцев, Адриан. "Фальстарт". Случайный SSL / TLS 101. В архиве из оригинала 2011-05-04. Получено 2011-03-09.
  242. ^ Маврогианнопулос, Никос; Веркаутерн, Фредерик; Величков, Веселин; Пренил, Барт (2012). Межпротокольная атака на протокол TLS. Материалы конференции ACM 2012 г. по компьютерной и коммуникационной безопасности (PDF). С. 62–72. ISBN  978-1-4503-1651-4. В архиве (PDF) из оригинала от 06.07.2015.
  243. ^ "SMACK: AttaCK государственного автомата". В архиве из оригинала от 12.03.2015.
  244. ^ Гудин, Дэн (2015-05-20). «Атака, разрушающая HTTPS, угрожает десяткам тысяч веб-серверов и почтовых серверов». Ars Technica. В архиве из оригинала от 19.05.2017.
  245. ^ Лейден, Джон (1 марта 2016 г.). «Треть всех HTTPS-сайтов открыта для атаки DROWN». Реестр. В архиве из оригинала на 1 марта 2016 г.. Получено 2016-03-02.
  246. ^ а б «Более 11 миллионов веб-сайтов HTTPS подверглись опасности новой атаки дешифрования». Ars Technica. В архиве из оригинала на 2016-03-01. Получено 2016-03-02.
  247. ^ Тай Дуонг и Джулиано Риццо (13.05.2011). "Вот иди ниндзя". В архиве из оригинала от 03.06.2014.
  248. ^ Дэн Гудин (19 сентября 2011 г.). «Хакеры взламывают шифрование SSL, используемое миллионами сайтов». В архиве из оригинала от 09.02.2012.
  249. ^ "Y Combinator комментирует проблему". 2011-09-20. В архиве из оригинала от 17.04.2013.
  250. ^ «Безопасность CBC Ciphersuites в SSL / TLS: проблемы и меры противодействия». 2004-05-20. Архивировано из оригинал на 30.06.2012.
  251. ^ Ристич, Иван (10 сентября, 2013). "ЗВЕРЬ все еще угроза?". В архиве из оригинала 12 октября 2014 г.. Получено 8 октября 2014.
  252. ^ Брайан Смит (30 сентября 2011 г.). «(CVE-2011-3389) Rizzo / Duong выбрал атаку с открытым текстом (BEAST) на SSL / TLS 1.0 (при поддержке websockets -76)».
  253. ^ «Уязвимость в SSL / TLS может привести к раскрытию информации (2643584)». 2012-01-10. В архиве из оригинала 15.08.2014.
  254. ^ Ристич, Иван (31 октября 2013 г.). «Apple включила средства защиты от BEAST в OS X 10.9 Mavericks». В архиве из оригинала 12 октября 2014 г.. Получено 8 октября 2014.
  255. ^ Дэн Гудин (13 сентября 2012). «Взлом в основе доверия Интернета позволяет перехватить сеанс HTTPS». Ars Technica. В архиве из оригинала от 01.08.2013. Получено 2013-07-31.
  256. ^ Деннис Фишер (13 сентября 2012 г.). «Атака CRIME использует степень сжатия запросов TLS в качестве побочного канала для взлома защищенных сеансов». ThreatPost. Архивировано из оригинал 15 сентября 2012 г.. Получено 2012-09-13.
  257. ^ а б Гудин, Дэн (1 августа 2013 г.). «Угнать за 30 секунд: новая атака извлекает секреты со страниц, защищенных HTTPS». Ars Technica. Condé Nast. В архиве из оригинала от 3 августа 2013 г.. Получено 2 августа 2013.
  258. ^ Лейден, Джон (2 августа 2013 г.). «Шагните в ПРОРЫВ: новая атака, разработанная для чтения зашифрованных веб-данных». Реестр. В архиве из оригинала 5 августа 2013 г.. Получено 2 августа 2013.
  259. ^ П. Гутманн (сентябрь 2014 г.). «Шифрование, затем MAC для безопасности транспортного уровня (TLS) и безопасности транспортного уровня дейтаграмм (DTLS)». В архиве из оригинала от 12.05.2015.
  260. ^ Хагай Бар-Эл. «Ошибка пуделя и Интернет вещей». В архиве из оригинала 16 марта 2015 г.. Получено 15 октября 2014.
  261. ^ Лэнгли, Адам (8 декабря 2014 г.). «ПУДЕЛЬ снова кусает». В архиве с оригинала 8 декабря 2014 г.. Получено 2014-12-08.
  262. ^ безопасность - Самые безопасные шифры для использования с BEAST? (Эксплойт TLS 1.0) Я читал, что RC4 невосприимчив - Ошибка сервера
  263. ^ Пуян Сепехрдад; Серж Воденэ; Мартин Вуаньу (2011). «Обнаружение и использование новых предубеждений в RC4». В Алексе Бирюкове; Гуан Гун; Дуглас Р. Стинсон (ред.). Избранные области криптографии: 17-й международный семинар, SAC 2010, Ватерлоо, Онтарио, Канада, 12-13 августа 2010 г., пересмотренные избранные статьи. Конспект лекций по информатике. 6544. С. 74–91. Дои:10.1007/978-3-642-19574-7_5. ISBN  978-3-642-19573-0.
  264. ^ Грин, Мэтью. «Атака недели: RC4 как бы взломан в TLS». Криптография Инжиниринг. В архиве из оригинала 14 марта 2013 г.. Получено 12 марта, 2013.
  265. ^ Надхем АльФардан, Дэн Бернштейн, Кенни Патерсон, Бертрам Поеттеринг и Джейкоб Шульдт. «О безопасности RC4 в TLS». Лондонский Королевский университет Холлоуэй. В архиве из оригинала 15 марта 2013 г.. Получено 13 марта, 2013.CS1 maint: несколько имен: список авторов (ссылка на сайт)
  266. ^ AlFardan, Nadhem J .; Бернштейн, Даниэль Дж .; Paterson, Kenneth G .; Поэттинг, Бертрам; Шульдт, Джейкоб С. Н. (8 июля 2013 г.). «О безопасности RC4 в TLS и WPA» (PDF). В архиве (PDF) из оригинала 22 сентября 2013 г.. Получено 2 сентября 2013. Цитировать журнал требует | журнал = (Помогите)
  267. ^ AlFardan, Nadhem J .; Бернштейн, Даниэль Дж .; Paterson, Kenneth G .; Поэттинг, Бертрам; Шульдт, Джейкоб С. Н. (15 августа 2013 г.). О безопасности RC4 в TLS (PDF). 22-е USENIX Симпозиум по безопасности. п. 51. В архиве (PDF) из оригинала 22 сентября 2013 г.. Получено 2 сентября 2013. Атаки восстановления открытого текста на RC4 в TLS возможны, но не совсем практичны
  268. ^ Гудин, Дэн. «Когда-то теоретическая крипто-атака на HTTPS теперь граничит с практичностью». Ars Technical. Conde Nast. В архиве из оригинала 16 июля 2015 г.. Получено 16 июля 2015.
  269. ^ «Рекомендуемые конфигурации TLS на стороне сервера Mozilla Security». Mozilla. В архиве из оригинала от 03.01.2015. Получено 2015-01-03.
  270. ^ «Рекомендация по безопасности 2868725: Рекомендация по отключению RC4». Microsoft. 2013-11-12. В архиве из оригинала 18.11.2013. Получено 2013-12-04.
  271. ^ «Прекращение поддержки шифра RC4 в Microsoft Edge и Internet Explorer 11». Команда Microsoft Edge. 1 сентября 2015 года. В архиве из оригинала 2 сентября 2015 года.
  272. ^ Лэнгли, Адам (1 сентября 2015 г.). «Намерение отказаться от поддержки: RC4».
  273. ^ Барнс, Ричард (1 сентября 2015 г.). «Намерение отправить: RC4 отключен по умолчанию в Firefox 44». В архиве из оригинала от 22.01.2011.
  274. ^ а б Джон Лейден (1 августа 2013 г.). «Gmail, Outlook.com и электронное голосование« взломали »на сцене в результате взлома криптовалюты». Реестр. В архиве из оригинала от 1 августа 2013 г.. Получено 1 августа 2013.
  275. ^ "Брифинги BlackHat USA". Черная шляпа 2013. В архиве из оригинала 30 июля 2013 г.. Получено 1 августа 2013.
  276. ^ Смит, Бен; Пиронти, Альфредо (2013). «Усечение TLS-соединений для нарушения убеждений в веб-приложениях». 7-й семинар USENIX по наступательным технологиям. В архиве из оригинала от 6 ноября 2015 г.. Получено 15 февраля 2016.
  277. ^ Гудин, Дэн. «Новая атака обходит защиту HTTPS на Mac, Windows и Linux». Ars Technica. Condé Nast. В архиве из оригинала 27 июля 2016 г.. Получено 28 июля 2016.
  278. ^ Гудин, Дэн (24 августа 2016 г.). «HTTPS и OpenVPN сталкиваются с новой атакой, которая может расшифровать секретные файлы cookie». Ars Technica. В архиве с оригинала 24 августа 2016 г.. Получено 24 августа, 2016.
  279. ^ «Почему это называется« Heartbleed Bug »?». Вашингтон Пост. 2014-04-09. В архиве из оригинала от 09.10.2014.
  280. ^ «Уязвимость Heartbleed Bug [9 апреля 2014 г.]». Comodo Group. В архиве из оригинала от 5 июля 2014 г.
  281. ^ Блейхенбахер, Даниэль (Август 2006 г.). «Подделка подписи RSA Блейхенбахером на основе ошибки реализации». Архивировано из оригинал на 2014-12-16.
  282. ^ «БЕРСерк». Безопасность Intel: расширенное исследование угроз. Сентябрь 2014 г. В архиве из оригинала от 12.01.2015.
  283. ^ Гудин, Дэн (19 февраля 2015 г.). «ПК Lenovo поставляются с рекламным ПО, которое прерывает HTTPS-соединения». Ars Technica. В архиве из оригинала 12 сентября 2017 г.. Получено 10 декабря, 2017.
  284. ^ Валсорда, Филиппо (20 февраля 2015 г.). "Проверка SSL Komodia / Superfish нарушена". Filippo.io. В архиве из оригинала от 24.02.2015.
  285. ^ а б Гудин, Дэн. ""Запрещенная атака "делает десятки сайтов HTTPS Visa уязвимыми для взлома". Ars Technica. В архиве из оригинала 26 мая 2016 г.. Получено 26 мая 2016.
  286. ^ Кларк Эстес, Адам. «Все, что вам нужно знать о Cloudbleed, последней катастрофе в области безопасности Интернета». Gizmodo. В архиве из оригинала на 2017-02-25. Получено 2017-02-24.
  287. ^ Диффи, Уитфилд; ван Оршот, Пол К.; Винер, Майкл Дж. (Июнь 1992 г.). «Аутентификация и аутентифицированный обмен ключами». Конструкции, коды и криптография. 2 (2): 107–125. CiteSeerX  10.1.1.59.6682. Дои:10.1007 / BF00124891. S2CID  7356608. В архиве из оригинала 13.03.2008. Получено 2008-02-11.
  288. ^ Обсуждение в списке рассылки TLS в октябре 2007 г. В архиве 2013-09-22 в Wayback Machine
  289. ^ «Долгосрочная защита данных с прямой секретностью». В архиве из оригинала от 06.05.2013. Получено 2012-11-05.
  290. ^ Бернат, Винсент. «SSL / TLS и совершенная пересылка секретов». В архиве из оригинала от 27.08.2012. Получено 2012-11-05.
  291. ^ "SSL Labs: развертывание прямой секретности". Qualys.com. 2013-06-25. В архиве из оригинала от 26.06.2013. Получено 2013-07-10.
  292. ^ Ристич, Иван (05.08.2013). "SSL Labs: развертывание прямой секретности". Qualsys. В архиве из оригинала от 20.09.2013. Получено 2013-08-31.
  293. ^ а б Лэнгли, Адам (27 июня 2013 г.). "Как нарушить секретность пересылки TLS". imperialviolet.org. В архиве из оригинала от 8 августа 2013 г.
  294. ^ а б Данььер, Флоран. «Секреты TLS»: технический документ, представляющий последствия для безопасности развертывания сессионных билетов (RFC 5077), реализованных в OpenSSL » (PDF). Матта Консалтинг Лимитед. В архиве (PDF) из оригинала от 6 августа 2013 г.. Получено 7 августа 2013.
  295. ^ а б Данььер, Флоран. «Секреты TLS»: То, что вам все забыли сказать ... » (PDF). Матта Консалтинг Лимитед. В архиве (PDF) из оригинала 5 августа 2013 г.. Получено 7 августа 2013.
  296. ^ Л.С. Хуанг; С. Адхикарла; Д. Бонех; К. Джексон (2014). «Экспериментальное исследование развертываний прямой секретности TLS». Интернет-вычисления IEEE. 18 (6): 43–51. CiteSeerX  10.1.1.663.4653. Дои:10.1109 / MIC.2014.86. S2CID  11264303. В архиве из оригинала 20 сентября 2015 г.. Получено 16 октября 2015.
  297. ^ «Долгосрочная защита данных с прямой секретностью». В архиве из оригинала от 12.02.2014. Получено 2014-03-07.
  298. ^ Хоффман-Эндрюс, Джейкоб. «Прямая секретность в Twitter». Twitter. В архиве из оригинала от 16.02.2014. Получено 2014-03-07.
  299. ^ а б c Дурумерик, Закир; Ма, Зейн; Спринголл, Дрю; Барнс, Ричард; Салливан, Ник; Бурштейн, Эли; Бейли, Майкл; Халдерман, Дж. Алекс; Паксон, Верн (5 сентября 2017 г.). «Влияние перехвата HTTPS на безопасность». Симпозиум NDSS. Дои:10.14722 / ndss.2017.23456. ISBN  978-1-891562-46-4.
  300. ^ а б Эти сертификаты в настоящее время X.509, но RFC  6091 также определяет использование OpenPGP -основанные сертификаты.
  301. ^ "tls - Различия между терминами" предварительный секрет "," главный секрет "," закрытый ключ "и" общий секрет "?". Обмен криптографическим стеком. Получено 2020-10-01.
  302. ^ Крис (18 февраля 2009 г.). «Выпущен vsftpd-2.1.0 - Использование возобновления сеанса TLS для аутентификации соединения данных FTPS». Scarybeastsecurity. blogspot.com. В архиве из оригинала от 07.07.2012. Получено 2012-05-17.
  303. ^ Валсорда, Филиппо. «Обзор TLS 1.3 и вопросы и ответы». Блог Cloudflare.
  304. ^ Обзор SSL-сертификата с подстановочными знаками, в архиве из оригинала от 23.06.2015, получено 2015-07-02
  305. ^ Именованные виртуальные хосты SSL: как решить проблему (PDF), в архиве (PDF) из оригинала от 03.08.2012, получено 2012-05-17

Статья основана на материалах, взятых из Бесплатный онлайн-словарь по вычислительной технике до 1 ноября 2008 г. и зарегистрированы в соответствии с условиями «перелицензирования» GFDL, версия 1.3 или новее.

дальнейшее чтение

внешняя ссылка

Характеристики (увидеть § Стандарты для старых ссылок SSL 2.0, SSL 3.0, TLS 1.0, TLS 1.1)

Непереносимость версии TLS
Другой