Transportschichtsicherheit

Transportschichtsicherheit (Tls) ist ein Kryptografisches Protokoll Entwickelt, um Kommunikationssicherheit über ein Computernetzwerk zu bieten. Das Protokoll wird in Anwendungen wie z. Email, Instant Messaging, und Voice over IP, aber seine Verwendung bei der Sicherung Https bleibt am öffentlich zu sichtbarsten.

Das TLS -Protokoll zielt hauptsächlich an, um bereitzustellen Kryptographie, einschließlich Privatsphäre (Vertraulichkeit), Integrität und Authentizität durch die Verwendung von Zertifikate, zwischen zwei oder mehr kommunizierenden Computeranwendungen. Es läuft in der Anwendungsschicht und besteht aus zwei Schichten: dem TLS -Datensatz und dem TLS Handshake -Protokolle.

TLS ist ein vorgeschlagener Internettechnik-Arbeitsgruppe (IETF) Standard, erstmals 1999 definiert, und die aktuelle Version ist TLS 1.3, definiert im August 2018. TLS baut auf den früheren SSL -Spezifikationen (1994, 1995, 1996) auf Netscape Kommunikation zum Hinzufügen des HTTPS -Protokolls zu ihrem Navigator Webbrowser.

TLS ist der Nachfolger der inzwischen gekennzeichneten Sichern Sie die Steckdose (SSL).

Beschreibung

Kundenserver Anwendungen verwenden die TLS Protokoll in einer Weise über ein Netzwerk zu kommunizieren, um Abhören zu verhindern, und Manipulationen.

Da Anwendungen entweder mit oder ohne TLS (oder SSL) kommunizieren können, ist dies für die erforderlich Klient um das zu fordern Server Stellen Sie eine TLS -Verbindung ein.^[1] Eine der Hauptmethoden, um dies zu erreichen Port-Nummer Für TLS -Verbindungen. Zum Beispiel wird Port 80 normalerweise für unverschlüsselte Verwendung verwendet Http Datenverkehr, während Port 443 der gemeinsame Port ist, der für verschlüsselt wird Https Verkehr. Ein weiterer Mechanismus besteht darin, dass der Client eine protokollspezifische Anforderung an den Server stellt, um die Verbindung auf TLS zu wechseln. Zum Beispiel durch Erstellen eines Starttls Anfrage bei Verwendung der Mail und Nachrichten Protokolle.

Sobald der Client und der Server sich bereit erklärt haben, TLS zu verwenden, verhandeln sie a Staatsbürgerlich Verbindung mit a Handschütteln Verfahren.^[2] Die Protokolle verwenden einen Handschlag mit einem Asymmetrische Chiffre Um nicht nur eine Verschlüsselungseinstellungen, sondern auch einen Sitzungs-spezifischen gemeinsamen Taste zu etablieren, mit dem weitere Kommunikation mit a verschlüsselt wird Symmetrische Chiffre. Während dieses Handshake stimmen Client und Server auf verschiedene Parameter ein, die zur Festlegung der Sicherheit der Verbindung verwendet wurden:

• Der Handshake beginnt, wenn ein Client eine Verbindung zu einem TLS-fähigen Server herstellt, der eine sichere Verbindung anfordert, und der Client eine Liste der unterstützten Chiffre -Suiten (Chiffren und Hash Funktionen).
• Aus dieser Liste wählt der Server eine Cipher- und Hash -Funktion aus, die er auch den Client der Entscheidung unterstützt und benachrichtigt.
• Der Server liefert normalerweise Identifikation in Form von a digitales Zertifikat. Das Zertifikat enthält die Servername, die vertrauenswürdigen Zertifizierungsstelle (CA), die für die Authentizität des Zertifikats und den öffentlichen Verschlüsselungsschlüssel des Servers bürgen.
• Der Kunde bestätigt die Gültigkeit des Zertifikats vor dem Fortschritt.
• So generieren Sie die Sitzungsschlüssel, die für die sichere Verbindung verwendet werden, entweder der Client:
  • verschlüsselt a Zufallszahl (PEMASTERSECRET) mit dem öffentlichen Schlüssel des Servers und sendet das Ergebnis an den Server (was nur der Server in der Lage sein sollte, mit seinem privaten Schlüssel zu entschlüsseln); Beide Parteien verwenden dann die Zufallszahl, um einen eindeutigen Sitzungsschlüssel für die anschließende Verschlüsselung und Entschlüsselung von Daten während der Sitzung zu generieren, oder
  • Verwendet Diffie -Hellman Key Exchange Um sicher einen zufälligen und eindeutigen Sitzungsschlüssel für Verschlüsselung und Entschlüsselung zu generieren, der die zusätzliche Eigenschaft von Forward Secrecy enthält: Wenn der private Schlüssel des Servers in Zukunft offengelegt wird, kann er nicht zur Entschlüsselung der aktuellen Sitzung verwendet werden, auch wenn die Sitzung abgefangen und aufgezeichnet ist von einem Dritten.

Damit kommt der Handschlag ab und beginnt die gesicherte Verbindung, die verschlüsselt und mit dem Sitzungsschlüssel entschlüsselt ist, bis die Verbindung schließt. Wenn einer der oben genannten Schritte fehlschlägt, schlägt der TLS -Händedruck fehl und die Verbindung wird nicht erstellt.

TLS und SSL passen nicht ordentlich in eine einzelne Schicht der OSI -Modell oder der TCP/IP -Modell.^[3][4] TLS läuft "über einem zuverlässigen Transportprotokoll (z. B. TCP)", "^[5] das würde bedeuten, dass es über dem liegt Transportschicht. Es dient Verschlüsselung zu höheren Schichten, was normalerweise die Funktion der ist Präsentationsfolie. Anwendungen verwenden jedoch im Allgemeinen TLS, als ob es sich um eine Transportschicht handelt.^[3][4] Auch wenn Anwendungen mit TLS aktiv die Initiierung von TLS -Handshakes und die Behandlung von austauschten Authentifizierungszertifikaten kontrollieren müssen.^[5]

Wenn Sie durch TLS gesichert sind, sollten Verbindungen zwischen einem Client (z. B. einem Webbrowser) und einem Server (z. B. Wikipedia.org) eine oder mehrere der folgenden Eigenschaften haben:

• Die Verbindung ist Privatgelände (oder sicher) weil ein Symmetrischer Tastenalgorithmus wird verwendet, um die übertragenen Daten zu verschlüsseln. Die Schlüssel für diese symmetrische Verschlüsselung werden für jede Verbindung einzigartig erzeugt und basieren auf einem gemeinsamen Geheimnis, das zu Beginn der Sitzung ausgehandelt wurde. Der Server und der Client verhandeln die Details, welche Verschlüsselungsalgorithmus und kryptografische Schlüssel zu verwenden sind, bevor das erste Datenbyte übertragen wird (siehe unten). Die Verhandlung eines gemeinsamen Geheimnisses ist sowohl sicher (das ausgehandelte Geheimnis ist für Traufedropper nicht verfügbar und kann nicht erhalten werden, selbst von einem Angreifer, der sich in die Mitte der Verbindung legt) und zuverlässig (kein Angreifer kann die Kommunikation während der Verhandlung ändern, ohne zu sein, ohne zu sein erkannt).
• Die Identität der Kommunikationsparteien kann sein authentifiziert Verwendung Kryptographie der Öffentlichkeit. Diese Authentifizierung ist für den Server erforderlich und für den Client optional.^[6]
• Die Verbindung ist zuverlässig Da jede übertragene Nachricht eine Meldungsintegritätsprüfung mit a enthält Nachrichtenauthentifizierungscode zu verhindern, dass unentdeckter Verlust oder Änderung der Daten während der Übertragung.^{[7]: 3}

Zusätzlich zum oben genannten kann eine sorgfältige Konfiguration von TLS zusätzliche Privatsphäre wie z. Vorwärtsgeheimnisund sicherzustellen, dass eine zukünftige Offenlegung von Verschlüsselungsschlüssel nicht verwendet werden kann, um eine in der Vergangenheit aufgezeichnete TLS -Kommunikation zu entschlüsseln.

TLS unterstützt viele verschiedene Methoden zum Austausch von Schlüssel, Verschlüsselung von Daten und Authentifizierung der Nachrichtenintegrität. Infolgedessen beinhaltet die sichere Konfiguration von TLS viele konfigurierbare Parameter, und nicht alle Auswahlmöglichkeiten bieten alle in der obigen Liste beschriebenen Eigenschaften im Zusammenhang mit Privatsphäre (siehe die folgenden Tabellen § Schlüsselaustausch, § Cipher -Sicherheit, und § Datenintegrität).

Es wurden Versuche unternommen, Aspekte der Kommunikationssicherheit zu untergraben, die TLS bereitstellen möchte, und das Protokoll wurde mehrmals überarbeitet, um diese Sicherheitsbedrohungen anzugehen. Entwickler von Webbrowsern haben ihre Produkte wiederholt überarbeitet, um sich gegen potenzielle Sicherheitsschwächen zu verteidigen, nachdem diese entdeckt wurden (siehe TLS/SSL -Support -Historie von Webbrowsern).

Geschichte und Entwicklung

SSL- und TLS -Protokolle

Protokoll	Veröffentlicht	Status
SSL 1.0	Unveröffentlicht	Unveröffentlicht
SSL 2.0	1995	Im Jahr 2011 veraltet (RFC6176))
SSL 3.0	1996	Im Jahr 2015 veraltet (RFC7568))
TLS 1.0	1999	Im Jahr 2021 veraltet (RFC8996)[8][9][10]
TLS 1.1	2006	Im Jahr 2021 veraltet (RFC8996)[8][9][10]
TLS 1.2	2008
TLS 1.3	2018

Sichern Sie Datennetzwerksysteme

Das Transport Layer Security Protocol (TLS) wurde zusammen mit mehreren anderen grundlegenden Netzwerksicherheitsplattformen durch eine gemeinsame Initiative entwickelt, die im August 1986 zu Beginn der nationalen Sicherheitsbehörde, dem Nationalen Büro für Standards, der Verteidigungskommunikation und zwölf Kommunikation und zwölf Kommunikation und zwölf Kommunikation und zwölf Kommunikation begonnen wurde. Computerunternehmen, die ein spezielles Projekt namens Secure Data Network System (SDNS) eingeleitet haben.^[11] Das Programm wurde im September 1987 auf der 10. National Computer Security Conference in einem umfangreichen Satz veröffentlichter Artikel beschrieben. Das innovative Forschungsprogramm konzentrierte sich auf die Gestaltung der nächsten Generation des sicheren Computerkommunikationsnetzwerks und der Produktspezifikationen für Anwendungen für öffentliche und private Internet. Es sollte die schnell auftretenden neuen OSI-Internetstandards ergänzen, die sowohl in den Gosip-Profilen der US-Regierung als auch in den riesigen ITU-ISO JTC1-Internetbemühungen international voranschreiten. Das ursprünglich als SP4-Protokoll bekannt, wurde es in TLS umbenannt und anschließend 1995 als internationales Standard-ITU-T X.274 | ISO/IEC 10736: 1995 veröffentlicht.

Sichere Netzwerkprogrammierung

Frühe Forschungsbemühungen zur Sicherheit der Transportschicht umfassten die Sichere Netzwerkprogrammierung (SNP) Programmierschnittstelle (API), die 1993 den Ansatz einer sicheren Transportschicht -API untersuchte, die sehr ähnlich ist Berkeley SocketsErleichterung der Nachrüstanwendungen mit Sicherheitsmaßnahmen.^[12]

SSL 1.0, 2.0 und 3.0

Netscape entwickelte die ursprünglichen SSL -Protokolle und Taher ElgamalDer Chefwissenschaftler bei Netscape Communications von 1995 bis 1998 wurde als "Vater von SSL" beschrieben.^{[13][14][15][16]} SSL Version 1.0 wurde wegen schwerwiegender Sicherheitsfehler im Protokoll nie öffentlich veröffentlicht. Die Version 2.0 wurde nach der Veröffentlichung im Februar 1995 schnell entdeckt, dass sie eine Reihe von Sicherheits- und Benutzerfreundlichkeitsfehler enthielt. Es verwendete dieselben kryptografischen Schlüssel für die Nachrichtenauthentifizierung und Verschlüsselung. Es hatte eine schwache MAC -Konstruktion, die die MD5 -Hash -Funktion mit einem geheimen Präfix verwendete, was sie anfällig für Länge Erweiterungsangriffe machte. Und es bot weder für den Eröffnungshandshake noch für eine explizite Botschaft in der Nähe, wodurch sich die Angriffe von Menschen in der Mitte unentdeckt halten konnten. Darüber hinaus nahm SSL 2.0 einen einzelnen Dienst und ein festes Domänenzertifikat an, das mit der weit verbreiteten Funktion des virtuellen Hosting in Webservern widersprüchlich war, sodass die meisten Websites effektiv durch die Verwendung von SSL beeinträchtigt wurden.

Diese Fehler erforderten die vollständige Neugestaltung des Protokolls zu SSL Version 3.0.^[17][15] Veröffentlicht 1996, es wurde von produziert von Paul Kocher Zusammenarbeit mit Netscape Engineers Phil Karlton und Alan Freier mit einer Referenzumsetzung von Christopher Allen und Tim Dierks of Consensus Development. Neuere Versionen von SSL/TLS basieren auf SSL 3.0. Der Entwurf von SSL 3.0 von 1996 wurde von IETF als historisches Dokument in veröffentlicht RFC 6101.

SSL 2.0 wurde 2011 von veraltet RFC 6176. Im Jahr 2014 wurde festgestellt, dass SSL 3.0 für die anfällig ist PUDEL Angriff, der alle betrifft Block Chiffren in SSL; RC4Die einzige von SSL 3.0 unterstützte Nicht-Block-Chiffre wird ebenfalls machbar unterbrochen, wie in SSL 3.0 verwendet.^[18] SSL 3.0 wurde im Juni 2015 von veraltet RFC 7568.

TLS 1.0

TLS 1.0 wurde zuerst in definiert in RFC 2246 Im Januar 1999 als Upgrade von SSL Version 3.0 und geschrieben von Christopher Allen und Tim Dierks of Consensus Development. Wie im RFC angegeben, "sind die Unterschiede zwischen diesem Protokoll und SSL 3.0 nicht dramatisch, aber sie sind signifikant genug, um die Interoperabilität zwischen TLS 1.0 und SSL 3.0 auszuschließen". Tim Dierks schrieb später, dass diese Änderungen und das Umbenennen von "SSL" zu "TLS" eine Gesichtsrettung in Microsoft waren, "so würde es nicht so aussehen, als würde das IETF nur Rubberstamping Netscapes Protokoll".^[19]

Das PCI -Rat schlug vor, dass Organisationen vor dem 30. Juni 2018 von TLS 1.0 auf TLS 1.1 oder höher migrieren.^[20][21] Im Oktober 2018, Apfel, Google, Microsoft, und Mozilla Bekannte gemeinsam, dass sie TLS 1.0 und 1.1 im März 2020 abbauen würden.^[8]

TLS 1.1

TLS 1.1 wurde in definiert in RFC 4346 Im April 2006.^[22] Es ist ein Update von TLS Version 1.0. Zu den signifikanten Unterschieden in dieser Version gehören:

• Schutz vor Chiffre-Blockkettung (CBC) Angriffe.
  • Das implizit Initialisierungsvektor (Iv) wurde durch eine explizite IV ersetzt.
  • Veränderung der Handhabung von Polsterfehler.
• Unterstützung für Iana Registrierung von Parametern.^{[23]: 2}

Die Unterstützung für TLS -Versionen 1.0 und 1.1 wurde von Websites um 2020 weitgehend veraltet, was den Zugriff auf Deaktivierte Feuerfuchs Versionen vor 24 und Browser auf Chrombasis vor 29.^[24][25][26]

TLS 1.2

TLS 1.2 wurde in definiert in RFC 5246 Im August 2008 basiert es auf der früheren TLS 1.1 -Spezifikation. Hauptunterschiede sind:

• Das MD5–SHA-1 Kombination in der Pseudorandomfunktion (PRF) wurde durch ersetzt durch SHA-256, mit einer Option zu verwenden Cipher Suite angegebene PRFs.
• Die MD5-SHA-1-Kombination in der fertigen Nachricht Hash wurde durch SHA-256 ersetzt, mit der Option zur Verwendung spezifischer Hash-Algorithmen von Cipher Suite. Die Größe des Hashs in der fertigen Nachricht muss jedoch immer noch mindestens 96 betragen Bits.^[27]
• Die MD5-SHA-1-Kombination im digital signierten Element wurde durch einen einzigen Hash ersetzt, der während Handschlag, was standardmäßig SHA-1 ist.
• Verbesserung der Fähigkeit des Clients und Servers, anzugeben, welche Hashes und Signaturalgorithmen sie akzeptieren.
• Erweiterung der Unterstützung für Authentifizierte Verschlüsselung Chiffren, hauptsächlich für Galois/Gegenmodus (GCM) und CCM -Modus von fortgeschrittener Verschlüsselungsstandard (AES) Verschlüsselung.
• TLS -Erweiterungsdefinition und AES -Chiffre -Suiten wurden hinzugefügt.^{[23]: 2}

Alle TLS -Versionen wurden weiter verfeinert in RFC 6176 Im März 2011 entfernen Sie ihre Rückwärtskompatibilität mit SSL so, dass TLS -Sitzungen niemals die Verwendung von Secure Sockets Layer (SSL) Version 2.0 aushandeln.

TLS 1.3

TLS 1.3 wurde in definiert in RFC 8446 Im August 2018 basiert es auf der früheren TLS 1.2 -Spezifikation. Zu den wichtigsten Unterschieden von TLS 1.2 gehören:^[28]

• Trennung von Schlüsselvereinbarungs- und Authentifizierungsalgorithmen von den Cipher -Suiten
• Entfernen der Unterstützung für schwache und weniger verwendete Namen Elliptische Kurven
• Entfernen der Unterstützung für MD5 und SHA-224 Kryptografische Hash -Funktionen
• Erforderliche digitale Signaturen, auch wenn eine vorherige Konfiguration verwendet wird
• Integrieren HKDF und der semi-equerale DH-Vorschlag
• Wiederaufnahme durch PSK und Tickets
• Unterstützung 1-RTT Handshakes und anfängliche Unterstützung für 0-RTT
• Perfekt vorschreiben Vorwärtsgeheimnisdurch die Verwendung von kurzlebigen Schlüssel während der (EC) DH -Schlüsselvereinbarung
• Unterstützung für viele unsichere oder veraltete Merkmale, einschließlich Kompression, Neuverhandlung, nichtAead Chiffren, nichtPFS Schlüsselaustausch (darunter sind statisch RSA und statisch Dh Schlüsselaustausch), benutzerdefinierte Dhe Gruppen, EC -Punktformatverhandlungen, Änderung der Cipher -Spezifikationsprotokoll, Hello Message Unix Time und der Länge Feld -Anzeige -Eingabe in Aead -Chiffren
• Verbot von SSL- oder RC4 -Verhandlungen zur Rückwärtskompatibilität
• Integration der Verwendung von Sitzungshash
• Abschreibende Verwendung der Versionsnummer der Datensatzebene und Einfrieren der Nummer für eine verbesserte Rückwärtskompatibilität
• Verschieben Sie einige sicherheitsrelevante Algorithmusdetails aus einem Anhang in die Spezifikation und das Umzug von ClientKeyShare in einen Anhang
• Hinzufügen des Chacha20 Stream -Chiffre mit dem Poly1305 Nachrichtenauthentifizierungscode
• Hinzufügen des Ed25519 und Ed448 Digitale Signaturalgorithmen
• Hinzufügen des x25519 und x448 Schlüsselaustauschprotokolle
• Hinzufügen von Unterstützung für das Senden mehrerer Mehrfach OCSP Antworten
• Verschlüsseln Sie alle Handshake -Nachrichten nach dem Serverhello

Netzwerksicherheitsdienste (NSS), die Kryptographie -Bibliothek von entwickelt von Mozilla und verwendet von seinem Webbrowser Feuerfuchs, aktiviert TLS 1.3 standardmäßig im Februar 2017.^[29] Der TLS 1.3 -Support wurde anschließend hinzugefügt - jedoch aufgrund von Kompatibilitätsproblemen für eine kleine Anzahl von Benutzern nicht automatisch aktiviert^[30] - zu Firefox 52.0, das im März 2017 veröffentlicht wurde. TLS 1.3 wurde im Mai 2018 mit der Veröffentlichung von standardmäßig aktiviert Firefox 60.0.^[31]

Google Chrome Stellen Sie TLS 1.3 als Standardversion für kurze Zeit 2017 ein Blue Coat Web Proxies.^[32]

Während der IETF 100 Hackathon, was stattgefunden hat Singapur Im Jahr 2017 arbeitete die TLS -Gruppe an der Anpassung Open-Source-Anwendungen TLS 1.3 verwenden.^[33][34] Die TLS -Gruppe bestand aus Personen aus Japan, Großbritannien und Mauritius über das Team von Cyberstorm.Mu.^[34] Diese Arbeit wurde im IETF 101 Hackathon in fortgesetzt London,^[35] und der IETF 102 Hackathon in Montreal.^[36]

Wolfssl Aktivierte die Verwendung von TLS 1.3 nach Version 3.11.1, veröffentlicht im Mai 2017.^[37] Als erste kommerzielle TLS 1.3 -Implementierung unterstützte WolfSSL 3.11.1 den Entwurf 18 und unterstützt jetzt den Entwurf 28.^[38] Die endgültige Version sowie viele ältere Versionen. Eine Reihe von Blogs wurde zum Leistungsunterschied zwischen TLS 1.2 und 1.3 veröffentlicht.^[39]

Im September 2018, der populäre OpenSSL Project veröffentlichte Version 1.1.1 seiner Bibliothek, in der die Unterstützung für TLS 1.3 "The Headline New Feature" war.^[40]

Die Unterstützung für TLS 1.3 wurde zuerst zu Schannel mit hinzugefügt Windows 11 und Windows Server 2022.^[41]

Enterprise Transport Security

Das Elektronische Grenzfundament Lobte TLS 1.3 und äußerte sich besorgt über die Variante Protokoll Enterprise Transport Security (ETS), die absichtlich wichtige Sicherheitsmaßnahmen in TLS 1.3 deaktiviert.^[42] Das ursprünglich als Enterprise TLS (ETLS) bezeichnete ETS ist ein veröffentlichter Standard, der als 'ETSI TS103523-3', "MiddleBox Security Protocol, Teil3: Enterprise Transport Security" bekannt ist. Es ist für die vollständige Verwendung in proprietären Netzwerken wie Bankensystemen gedacht. ETS unterstützt keine Forward Secrecy, damit Drittunternehmen, die mit den proprietären Netzwerken verbunden sind, mit ihrem privaten Schlüssel zur Überwachung des Netzwerkverkehrs zur Erkennung von Malware und zur einfacheren Durchführung von Audits verwenden können.^[43][44] Trotz der behaupteten Vorteile warnte die EFF, dass der Verlust von Forward Secrecy es erleichtern könnte, dass Daten freigelegt werden und sagen, dass es bessere Möglichkeiten zur Analyse des Verkehrs gibt.

Digitale Zertifikate

Ein digitales Zertifikat zertifiziert das Eigentum eines öffentlichen Schlüssels durch das benannte Thema des Zertifikats und zeigt bestimmte erwartete Verwendungen dieses Schlüssels an. Dies ermöglicht es anderen (Verweigerung von Parteien), sich auf Unterschriften oder auf Behauptungen zu verlassen, die der private Schlüssel erstellt hat, der dem zertifizierten öffentlichen Schlüssel entspricht. Keystores und Trust -Stores können in verschiedenen Formaten wie .pem, .crt, .pfx und .jks sein.

Zertifikatbehörden

TLS stützt sich in der Regel auf eine Reihe vertrauenswürdiger Zertifikatungsbehörden von Drittanbietern, um die Echtheit von Zertifikaten festzulegen. Vertrauen wird normalerweise in einer Liste der mit User Agent Software verteilten Zertifikate verankert.^[45] und kann von der RELELING -Partei geändert werden.

Entsprechend Netcraft, der aktive TLS-Zertifikate überwacht, die marktführende Zertifikatsbehörde (CA) war Symantec seit Beginn ihrer Umfrage (oder Verisign Bevor die Authentication Services Business Unit von Symantec gekauft wurde). Ab 2015 machte Symantec knapp ein Drittel aller Zertifikate und 44% der gültigen Zertifikate, die von den 1 Million geschäftigsten Websites verwendet wurden, wie von Netcraft gezählt.^[46] 2017 verkaufte Symantec sein TLS/SSL -Geschäft an Digicert.^[47] In einem aktualisierten Bericht wurde gezeigt, dass dies gezeigt wurde Identifizieren, Digicert, und Sekten sind die Top -3 -Zertifikatsbehörden in Bezug auf den Marktanteil seit Mai 2019.^[48]

Als Folge der Wahl X.509 Zertifikate, Zertifikatbehörden und a öffentliche Schlüsselinfrastruktur sind erforderlich, um die Beziehung zwischen einem Zertifikat und seinem Eigentümer zu überprüfen sowie die Gültigkeit von Zertifikaten zu generieren, zu unterschreiben und zu verwalten. Dies kann zwar bequemer sein, als die Identität über a zu überprüfen Web of Trust, das 2013 Massenüberwachung Offenlegungen Es wurde allgemein bekannt MAN-in-the-Middle-Angriffe (MITM), wenn die Zertifikatbehörde zusammenarbeitet (oder kompromittiert wird).^[49][50]

Algorithmen

Schlüsselaustausch oder Schlüsselvereinbarung

Bevor ein Client und ein Server mit dem Austausch von Informationen, die durch TLS geschützt sind § Cipher). Zu den Methoden, die für den Schlüsselaustausch/Vertrag verwendet werden RSA (Bezeichnet TLS_RSA im TLS -Handshake -Protokoll), Diffie -Hellman (TLS_DH), Ephemeral Diffie -Hellman (TLS_DHE), Elliptische Kurve Diffie-Hellman (TLS_ECDH), Ephemeral Elliptic-Kurve Diffie-Hellman (TLS_ECDHE), Anonymous Diffie -Hellman (Tls_dh_anon),^[7] Geteilter Schlüssel (TLS_PSK)^[51] und Sichern Sie das Remote -Passwort (TLS_SRP).^[52]

Die Schlüsselvereinbarungsmethoden TLS_DH_ANON und TLS_ECDH_ANON AUTHENTIEREN WEGEN DER SERBER ODER DER Nutzer und werden daher selten verwendet, da diese anfällig für MAN-in-the-Middle-Angriffe. Nur tls_dhe und tls_ecdhe liefern Vorwärtsgeheimnis.

Die während des Austauschs/Vereinbarung verwendeten öffentlichen Schlüsselzertifikate variieren auch in der Größe der während des Austauschs verwendeten öffentlichen/privaten Verschlüsselungsschlüssel und damit die Robustheit der vorgesehenen Sicherheit. Im Juli 2013, Google kündigte an, dass es keine 1024-Bit-öffentlichen Schlüssel mehr verwenden würde und stattdessen auf 2048-Bit-Schlüssel wechselt, um die Sicherheit der TLS-Verschlüsselung zu erhöhen, die es ihren Benutzern bietet, da die Verschlüsselungsstärke in direktem Zusammenhang mit dem steht Schlüsselgröße.^[53][54]

Schlüsselaustausch/Vereinbarung und Authentifizierung

Algorithmus	SSL 2.0	SSL 3.0	TLS 1.0	TLS 1.1	TLS 1.2	TLS 1.3	Status
RSA	Ja	Ja	Ja	Ja	Ja	Nein	Definiert für TLS 1.2 in RFCs
Dh-RSA	Nein	Ja	Ja	Ja	Ja	Nein
Dhe-RSA (Vorwärtsgeheimnis))	Nein	Ja	Ja	Ja	Ja	Ja
Ecdh-RSA	Nein	Nein	Ja	Ja	Ja	Nein
Ecdhe-RSA (Vorwärtshöre)	Nein	Nein	Ja	Ja	Ja	Ja
Dh-DSS	Nein	Ja	Ja	Ja	Ja	Nein
Dhe-DSS (Vorwärtshöre)	Nein	Ja	Ja	Ja	Ja	Nein[55]
Ecdh-ECDSA	Nein	Nein	Ja	Ja	Ja	Nein
Ecdhe-ECDSA (Vorwärtshöre)	Nein	Nein	Ja	Ja	Ja	Ja
Ecdh-EDDSA	Nein	Nein	Ja	Ja	Ja	Nein
Ecdhe-EDDSA (Vorwärtshöre)[56]	Nein	Nein	Ja	Ja	Ja	Ja
PSK	Nein	Nein	Ja	Ja	Ja	?
PSK-RSA	Nein	Nein	Ja	Ja	Ja	?
Dhe-PSK (Vorwärtshöre)	Nein	Nein	Ja	Ja	Ja	Ja
Ecdhe-PSK (Vorwärtshöre)	Nein	Nein	Ja	Ja	Ja	Ja
SRP	Nein	Nein	Ja	Ja	Ja	?
SRP-DSS	Nein	Nein	Ja	Ja	Ja	?
SRP-RSA	Nein	Nein	Ja	Ja	Ja	?
Kerberos	Nein	Nein	Ja	Ja	Ja	?
Dh-Anon (unsicher)	Nein	Ja	Ja	Ja	Ja	?
Ecdh-Anon (unsicher)	Nein	Nein	Ja	Ja	Ja	?
GOST R 34.10-94/34.10-2001[57]	Nein	Nein	Ja	Ja	Ja	?	Vorgeschlagen in RFC -Entwürfen

Chiffre

Chiffre Sicherheit gegen öffentlich bekannte machbare Angriffe

Chiffre			Protokollversion						Status
Typ	Algorithmus	Nennstärke (Bits)	SSL 2.0	SSL 3.0[n 1][n 2][n 3][n 4]	TLS 1.0[n 1][n 3]	TLS 1.1[n 1]	TLS 1.2[n 1]	TLS 1.3
Cipher Block mit Arbeitsweise	AES GCM[58][n 5]	256, 128	—	—	—	—	Sicher	Sicher	Definiert für TLS 1.2 in RFCs
	AES CCM[59][n 5]		—	—	—	—	Sicher	Sicher
	AES CBC[n 6]		—	Unsicher	Hängt von Minderungen ab	Hängt von Minderungen ab	Hängt von Minderungen ab	-
	Kamelie GCM[60][n 5]	256, 128	—	—	—	—	Sicher	-
	Kamelie CBC[61][n 6]		—	Unsicher	Hängt von Minderungen ab	Hängt von Minderungen ab	Hängt von Minderungen ab	-
	ARIE GCM[62][n 5]	256, 128	—	—	—	—	Sicher	-
	ARIE CBC[62][n 6]		—	—	Hängt von Minderungen ab	Hängt von Minderungen ab	Hängt von Minderungen ab	-
	SAMEN CBC[63][n 6]	128	—	Unsicher	Hängt von Minderungen ab	Hängt von Minderungen ab	Hängt von Minderungen ab	-
	3des ede CBC[n 6][n 7]	112[n 8]	Unsicher	Unsicher	Unsicher	Unsicher	Unsicher	-
	GOST 28147-89 Cnt[57][n 7]	256	—	—	Unsicher	Unsicher	Unsicher	—	Definiert in RFC 4357
	IDEE CBC[n 6][n 7][n 9]	128	Unsicher	Unsicher	Unsicher	Unsicher	—	—	Aus TLS 1.2 entfernt
	Des CBC[n 6][n 7][n 9]	056	Unsicher	Unsicher	Unsicher	Unsicher	—	-
		040[n 10]	Unsicher	Unsicher	Unsicher	—	—	—	Verboten in TLS 1.1 und später
	RC2 CBC[n 6][n 7]	040[n 10]	Unsicher	Unsicher	Unsicher	—	—	-
Stream Chiffre	Chacha20-Poly1305[68][n 5]	256	—	—	—	—	Sicher	Sicher	Definiert für TLS 1.2 in RFCs
	RC4[n 11]	128	Unsicher	Unsicher	Unsicher	Unsicher	Unsicher	—	In allen Versionen von TLS von verboten RFC 7465
		040[n 10]	Unsicher	Unsicher	Unsicher	—	—	-
Keiner	Null[n 12]	–	Unsicher	Unsicher	Unsicher	Unsicher	Unsicher	—	Definiert für TLS 1.2 in RFCs

Anmerkungen

Datenintegrität

A Nachrichtenauthentifizierungscode (MAC) wird für die Datenintegrität verwendet. HMAC wird für CBC Modus der Blockveränderlichkeiten. Authentifizierte Verschlüsselung (Aead) wie z. GCM und CCM -Modus Verwendet Aead-integrierten Mac und verwendet nicht HMAC.^[69] HMAC-basiert Prf, oder HKDF wird für TLS -Handshake verwendet.

Datenintegrität

Algorithmus	SSL 2.0	SSL 3.0	TLS 1.0	TLS 1.1	TLS 1.2	TLS 1.3	Status
HMAC-MD5	Ja	Ja	Ja	Ja	Ja	Nein	Definiert für TLS 1.2 in RFCs
HMAC-SHA1	Nein	Ja	Ja	Ja	Ja	Nein
HMAC-SHA256/384	Nein	Nein	Nein	Nein	Ja	Nein
Aead	Nein	Nein	Nein	Nein	Ja	Ja
GOST 28147-89 Imit[57]	Nein	Nein	Ja	Ja	Ja	?	Vorgeschlagen in RFC -Entwürfen
GOST R 34.11-94[57]	Nein	Nein	Ja	Ja	Ja	?

Bewerbungen und Einführung

Im Anwendungsdesign wird TLS normalerweise über Transportschichtprotokolle implementiert, wobei alle Protokolldaten von Protokollen wie z. Http, Ftp, SMTP, Nntp und XMPP.

Historisch gesehen wurde TLS hauptsächlich mit zuverlässigen Transportprotokollen wie dem verwendet Transmissionskontrollprotokoll (TCP). Es wurde jedoch auch mit Datagramm-orientierten Transportprotokollen wie dem implementiert User Datagram Protocol (UDP) und die Datagramm -Überlastungskontrollprotokoll (DCCP), dessen Verwendung mit dem Begriff unabhängig voneinander standardisiert wurde Datagramm Transportschichtsicherheit (DTLS).

Websites

Eine primäre Verwendung von TLS ist zu sichern Weltweites Netz Verkehr zwischen a Webseite und ein Webbrowser Codiert mit dem HTTP -Protokoll. Diese Verwendung von TLS zur Sicherung des HTTP -Verkehrs stellt das aus Https Protokoll.^[70]

Website -Protokollunterstützung (Mai 2022)

Protokoll Ausführung	Webseite Unterstützung[71]	Sicherheit[71][72]
SSL 2.0	0,3%	Unsicher
SSL 3.0	2,5%	Unsicher[73]
TLS 1.0	37,1%	Veraltet[8][9][10]
TLS 1.1	40,6%	Veraltet[8][9][10]
TLS 1.2	99,7%	Hängt von Chiffre ab[n 1] und Kundenminderungen[n 2]
TLS 1.3	54,2%	Sicher

Anmerkungen

Internetbrowser

Ab April 2016^{[aktualisieren]}Die neuesten Versionen aller wichtigen Webbrowser unterstützen TLS 1.0, 1.1 und 1.2 und lassen sie standardmäßig aktiviert. Allerdings nicht alle unterstützt Microsoft -Betriebssysteme Unterstützen Sie die neueste Version von IE. Darüber hinaus unterstützen viele Microsoft -Betriebssysteme derzeit mehrere Versionen des IE, dies hat sich jedoch laut Microsoft geändert Internet Explorer Support Lifecycle Policy FAQ"Ab dem 12. Januar 2016 erhält nur die aktuellste Version von Internet Explorer für ein unterstütztes Betriebssystem technische Support- und Sicherheitsaktualisierungen." Auf der Seite wird dann die neueste unterstützte Version von IE zu diesem Zeitpunkt für jedes Betriebssystem aufgeführt. Das nächste kritische Datum wäre, wenn ein Betriebssystem die Lebensende erreicht. Seit 15. Juni 2022, Internet Explorer 11 Unterstützung bei der Unterstützung für Windows 10 Editions die Microsofts moderne Lebenszyklusrichtlinie folgen.^[74][75]

Minderungen gegen bekannte Angriffe reichen noch nicht aus:

• Minderungen gegen Pudelangriff: Einige Browser verhindern bereits Fallback an SSL 3.0; Diese Minderung muss jedoch nicht nur von Kunden, sondern auch von Servern unterstützt werden. Deaktivieren von SSL 3.0 selbst, Implementierung von "Anti-Poodle-Aufzeichnungen" oder Verweigerung von CBC-Chiffren in SSL 3.0 ist erforderlich.
  • Google Chrome: Complete (TLS_FALLBACK_SCSV ist seit Version 33 implementiert. Fallback an SSL 3.0 ist seit Version 39 deaktiviert. SSL 3.0 selbst ist seit Version 40 standardmäßig deaktiviert. Die Unterstützung von SSL 3.0 selbst wurde seit Version 44 fallen.)
  • Mozilla Firefox: Vollständig (Unterstützung von SSL 3.0 selbst wird seitdem fallen gelassen Version 39. SSL 3.0 selbst ist standardmäßig deaktiviert und Fallback an SSL 3.0 sind seitdem deaktiviert Version 34, TLS_FALLBACK_SCSV ist seit Version 35 implementiert. In ESR ist SSL 3.0 selbst standardmäßig deaktiviert und TLS_FALLBACK_SCSV ist seit ESR 31.3 implementiert.)
  • Internet Explorer: Partial (nur in Version 11, SSL 3.0 ist seit April 2015 standardmäßig deaktiviert. Version 10 und älter ist immer noch gegen Pudle anfällig.)
  • Oper: Complete (TLS_FAFTBACK_SCSV wird seit Version 20, "Anti-Pudel-Datensatz-Aufteilung", die nur mit der clientseitigen Implementierung wirksam ist, ist seit Version 25 implementiert. wird seit Version 31 fallen gelassen.)
  • Safari: Vollständig (nur unter OS X 10.8 und später und iOS 8, CBC -Chiffren während des Fallbacks an SSL 3.0, wird verweigert. Dies bedeutet jedoch, dass es RC4 verwendet, was nicht empfohlen wird. Die Unterstützung von SSL 3.0 selbst wird auf OS X fallen gelassen. 10.11 und später und iOS 9.)
• Minderung gegen RC4 -Angriffe:
  • Google Chrome deaktiviert RC4, außer als Fallback seit Version 43. RC4 ist seit Chrome 48 deaktiviert.
  • Firefox deaktiviert RC4, außer als Fallback seit Version 36. Firefox 44 Deaktiviert RC4 standardmäßig.
  • Opera deaktiviert RC4, außer als Fallback seit Version 30. RC4 ist seit Opera 35 deaktiviert.
  • Internet Explorer für Windows 7/Server 2008 R2 und für Windows 8/Server 2012 hat die Priorität von RC4 auf niedrigste festgelegt und kann RC4 auch als Fallback durch Registrierungseinstellungen deaktivieren. Internet Explorer 11 Mobile 11 für Windows Phone 8.1 Deaktivieren Sie RC4 außer als Fallback, wenn kein anderer aktivierter Algorithmus funktioniert. Edge und IE 11 deaktivieren RC4 im August 2016 vollständig.
• Minderung gegen Freakangriff:
  • Der Android -Browser enthalten bei Android 4.0 und älter ist immer noch anfällig für den Freak -Angriff.
  • Internet Explorer 11 Mobile ist immer noch anfällig für den Freak -Angriff.
  • Google Chrome, Internet Explorer (Desktop), Safari (Desktop & Mobile) und Opera (Mobile) haben Freak -Minderungen.
  • Mozilla Firefox auf allen Plattformen und Google Chrome unter Windows waren nicht von Freak betroffen.

TLS/SSL unterstützen die Geschichte von Webbrowsern

Browser oder OS -API	Ausführung		Plattformen	SSL -Protokolle		TLS -Protokolle				Zertifikatunterstützung			Schwachstellen festgelegt[n 1]						Protokollauswahl durch den Benutzer[n 2]
				SSL 2.0 (unsicher)	SSL 3.0 (unsicher)	TLS 1.0 (veraltet)	TLS 1.1 (veraltet)	TLS 1.2	TLS 1.3	Ev[n 3][76]	SHA-2[77]	ECDSA[78]	TIER[n 4]	VERBRECHEN[n 5]	Pudel (SSLV3)[n 6]	RC4[n 7]	Freak[79][80]	Logjam
Google Chrome (Chrom für Android)[n 8][n 9]	1–9		Fenster(7+) Mac OS(10.11+) Linux Android(5.0+) iOS(12,2+) Chrome OS	Standardmäßig deaktiviert	Standardmäßig aktiviert	Ja	Nein	Nein	Nein	Ja (nur Desktop)	Braucht SHA-2-kompatibles Betriebssystem[77]	Bedürfnisse ECC kompatibles Betriebssystem[78]	Nicht betroffen[85]	Verletzlich (Https)	Verletzlich	Verletzlich	Verletzlich (außer Windows)	Verletzlich	Ja[n 10]
	10–20			Nein[86]	Standardmäßig aktiviert	Ja	Nein	Nein	Nein	Ja (nur Desktop)	Braucht SHA-2-kompatibles Betriebssystem[77]	Braucht ECC -kompatibeles Betriebssystem[78]	Nicht betroffen	Verletzlich (Https/spdy)	Verletzlich	Verletzlich	Verletzlich (außer Windows)	Verletzlich	Ja[n 10]
	21			Nein	Standardmäßig aktiviert	Ja	Nein	Nein	Nein	Ja (nur Desktop)	Braucht SHA-2-kompatibles Betriebssystem[77]	Braucht ECC -kompatibeles Betriebssystem[78]	Nicht betroffen	Gemindert[87]	Verletzlich	Verletzlich	Verletzlich (außer Windows)	Verletzlich	Ja[n 10]
	22–29			Nein	Standardmäßig aktiviert	Ja	Ja[88]	Nein[88][89][90][91]	Nein	Ja (nur Desktop)	Braucht SHA-2-kompatibles Betriebssystem[77]	Braucht ECC -kompatibeles Betriebssystem[78]	Nicht betroffen	Gemindert	Verletzlich	Verletzlich	Verletzlich (außer Windows)	Verletzlich	Vorübergehend[n 11]
	30–32			Nein	Standardmäßig aktiviert	Ja	Ja	Ja[89][90][91]	Nein	Ja (nur Desktop)	Braucht SHA-2-kompatibles Betriebssystem[77]	Braucht ECC -kompatibeles Betriebssystem[78]	Nicht betroffen	Gemindert	Verletzlich	Verletzlich	Verletzlich (außer Windows)	Verletzlich	Vorübergehend[n 11]
	33–37			Nein	Standardmäßig aktiviert	Ja	Ja	Ja	Nein	Ja (nur Desktop)	Braucht SHA-2-kompatibles Betriebssystem[77]	Braucht ECC -kompatibeles Betriebssystem[78]	Nicht betroffen	Gemindert	Teilweise gemindert[n 12]	Niedrigste Priorität[94][95][96]	Verletzlich (außer Windows)	Verletzlich	Vorübergehend[n 11]
	38, 39			Nein	Standardmäßig aktiviert	Ja	Ja	Ja	Nein	Ja (nur Desktop)	Ja	Braucht ECC -kompatibeles Betriebssystem[78]	Nicht betroffen	Gemindert	Teilweise gemindert	Niedrigste Priorität	Verletzlich (außer Windows)	Verletzlich	Vorübergehend[n 11]
	40			Nein	Standardmäßig deaktiviert[93][97]	Ja	Ja	Ja	Nein	Ja (nur Desktop)	Ja	Braucht ECC -kompatibeles Betriebssystem[78]	Nicht betroffen	Gemindert	Gemindert[n 13]	Niedrigste Priorität	Verletzlich (außer Windows)	Verletzlich	Ja[n 14]
	41, 42			Nein	Standardmäßig deaktiviert	Ja	Ja	Ja	Nein	Ja (nur Desktop)	Ja	Braucht ECC -kompatibeles Betriebssystem[78]	Nicht betroffen	Gemindert	Gemindert	Niedrigste Priorität	Gemindert	Verletzlich	Ja[n 14]
	43			Nein	Standardmäßig deaktiviert	Ja	Ja	Ja	Nein	Ja (nur Desktop)	Ja	Braucht ECC -kompatibeles Betriebssystem[78]	Nicht betroffen	Gemindert	Gemindert	Nur als Fallback[n 15][98]	Gemindert	Verletzlich	Ja[n 14]
	44–47			Nein	Nein[99]	Ja	Ja	Ja	Nein	Ja (nur Desktop)	Ja	Braucht ECC -kompatibeles Betriebssystem[78]	Nicht betroffen	Gemindert	Nicht betroffen	Nur als Fallback[n 15]	Gemindert	Gemindert[100]	Vorübergehend[n 11]
	48, 49			Nein	Nein	Ja	Ja	Ja	Nein	Ja (nur Desktop)	Ja	Braucht ECC -kompatibeles Betriebssystem[78]	Nicht betroffen	Gemindert	Nicht betroffen	Standardmäßig deaktiviert[n 16][101][102]	Gemindert	Gemindert	Vorübergehend[n 11]
	50–53			Nein	Nein	Ja	Ja	Ja	Nein	Ja (nur Desktop)	Ja	Ja	Nicht betroffen	Gemindert	Nicht betroffen	Standardmäßig deaktiviert[n 16][101][102]	Gemindert	Gemindert	Vorübergehend[n 11]
	54–66			Nein	Nein	Ja	Ja	Ja	Standardmäßig deaktiviert (Entwurfsversion)	Ja (nur Desktop)	Ja	Ja	Nicht betroffen	Gemindert	Nicht betroffen	Standardmäßig deaktiviert[n 16][101][102]	Gemindert	Gemindert	Vorübergehend[n 11]
	67–69			Nein	Nein	Ja	Ja	Ja	Ja (Entwurfsversion)	Ja (nur Desktop)	Ja	Ja	Nicht betroffen	Gemindert	Nicht betroffen	Standardmäßig deaktiviert[n 16][101][102]	Gemindert	Gemindert	Vorübergehend[n 11]
	70–83			Nein	Nein	Ja	Ja	Ja	Ja	Ja (nur Desktop)	Ja	Ja	Nicht betroffen	Gemindert	Nicht betroffen	Standardmäßig deaktiviert[n 16][101][102]	Gemindert	Gemindert	Vorübergehend[n 11]
	84–90			Nein	Nein	Standardmäßig warnen	Standardmäßig warnen	Ja	Ja	Ja (nur Desktop)	Ja	Ja	Nicht betroffen	Gemindert	Nicht betroffen	Standardmäßig deaktiviert[n 16][101][102]	Gemindert	Gemindert	Vorübergehend[n 11]
	91–101			Nein	Nein	Nein[103]	Nein[103]	Ja	Ja	Ja (nur Desktop)	Ja	Ja	Nicht betroffen	Gemindert	Nicht betroffen	Standardmäßig deaktiviert[n 16][101][102]	Gemindert	Gemindert	Vorübergehend[n 11]
	Esc 102	103
Browser oder OS -API	Ausführung		Plattformen	SSL 2.0 (unsicher)	SSL 3.0 (unsicher)	TLS 1.0 (veraltet)	TLS 1.1 (veraltet)	TLS 1.2	TLS 1.3	EV -Zertifikat	SHA-2-Zertifikat	ECDSA -Zertifikat	TIER	VERBRECHEN	Pudel (SSLV3)	RC4	Freak	Logjam	Protokollauswahl durch den Benutzer
Microsoft Edge (Chrombasis) OS-unabhängig	79–83		Fenster(7+) Mac OS(10.12+) Linux Android(4.4+) iOS(11.0+)	Nein	Nein	Ja	Ja	Ja	Ja	Ja	Ja	Ja	Gemindert	Nicht betroffen	Nicht betroffen	Standardmäßig deaktiviert	Gemindert	Gemindert	Ja[n 10]
	84–90			Nein	Nein	Standardmäßig warnen	Standardmäßig warnen	Ja	Ja	Ja	Ja	Ja	Gemindert	Nicht betroffen	Nicht betroffen	Standardmäßig deaktiviert	Gemindert	Gemindert	Ja[n 10]
	91-101			Nein	Nein	Nein[104]	Nein[104]	Ja	Ja	Ja	Ja	Ja	Gemindert	Nicht betroffen	Nicht betroffen	Standardmäßig deaktiviert	Gemindert	Gemindert	Ja[n 10]
	Esc 102	103
Browser oder OS -API	Ausführung		Plattformen	SSL 2.0 (unsicher)	SSL 3.0 (unsicher)	TLS 1.0 (veraltet)	TLS 1.1 (veraltet)	TLS 1.2	TLS 1.3	EV -Zertifikat	SHA-2-Zertifikat	ECDSA -Zertifikat	TIER	VERBRECHEN	Pudel (SSLV3)	RC4	Freak	Logjam	Protokollauswahl durch den Benutzer
Mozilla Firefox (Firefox für Mobilgeräte)[n 17]	1.0, 1.5		Fenster(7+) Mac OS(10.12+) Linux Android(5.0+) iOS(11,4+) Firefox OS Maemo ESR nur für: Fenster(7+) Mac OS(10.12+) Linux	Standardmäßig aktiviert[105]	Standardmäßig aktiviert[105]	Ja[105]	Nein	Nein	Nein	Nein	Ja[77]	Nein	Nicht betroffen[106]	Nicht betroffen	Verletzlich	Verletzlich	Nicht betroffen	Verletzlich	Ja[n 10]
	2			Standardmäßig deaktiviert[105][107]	Standardmäßig aktiviert	Ja	Nein	Nein	Nein	Nein	Ja	Ja[78]	Nicht betroffen	Nicht betroffen	Verletzlich	Verletzlich	Nicht betroffen	Verletzlich	Ja[n 10]
	3–7			Standardmäßig deaktiviert	Standardmäßig aktiviert	Ja	Nein	Nein	Nein	Ja	Ja	Ja	Nicht betroffen	Nicht betroffen	Verletzlich	Verletzlich	Nicht betroffen	Verletzlich	Ja[n 10]
	8–10 ESR 10			Nein[107]	Standardmäßig aktiviert	Ja	Nein	Nein	Nein	Ja	Ja	Ja	Nicht betroffen	Nicht betroffen	Verletzlich	Verletzlich	Nicht betroffen	Verletzlich	Ja[n 10]
	11–14			Nein	Standardmäßig aktiviert	Ja	Nein	Nein	Nein	Ja	Ja	Ja	Nicht betroffen	Verletzlich (Spdy)[87]	Verletzlich	Verletzlich	Nicht betroffen	Verletzlich	Ja[n 10]
	15–22 ESR 17.0–17.0.10			Nein	Standardmäßig aktiviert	Ja	Nein	Nein	Nein	Ja	Ja	Ja	Nicht betroffen	Gemindert	Verletzlich	Verletzlich	Nicht betroffen	Verletzlich	Ja[n 10]
	ESR 17.0.11			Nein	Standardmäßig aktiviert	Ja	Nein	Nein	Nein	Ja	Ja	Ja	Nicht betroffen	Gemindert	Verletzlich	Niedrigste Priorität[108][109]	Nicht betroffen	Verletzlich	Ja[n 10]
	23			Nein	Standardmäßig aktiviert	Ja	Standardmäßig deaktiviert[110]	Nein	Nein	Ja	Ja	Ja	Nicht betroffen	Gemindert	Verletzlich	Verletzlich	Nicht betroffen	Verletzlich	Ja[n 18]
	24, 25.0.0 ESR 24.0–24.1.0			Nein	Standardmäßig aktiviert	Ja	Standardmäßig deaktiviert	Standardmäßig deaktiviert[111]	Nein	Ja	Ja	Ja	Nicht betroffen	Gemindert	Verletzlich	Verletzlich	Nicht betroffen	Verletzlich	Ja[n 18]
	25.0.1, 26 ESR 24.1.1			Nein	Standardmäßig aktiviert	Ja	Standardmäßig deaktiviert	Standardmäßig deaktiviert	Nein	Ja	Ja	Ja	Nicht betroffen	Gemindert	Verletzlich	Niedrigste Priorität[108][109]	Nicht betroffen	Verletzlich	Ja[n 18]
	27–33 ESR 31.0–31.2			Nein	Standardmäßig aktiviert	Ja	Ja[112][113]	Ja[114][113]	Nein	Ja	Ja	Ja	Nicht betroffen	Gemindert	Verletzlich	Niedrigste Priorität	Nicht betroffen	Verletzlich	Ja[n 18]
	34, 35 ESR 31.3–31.7			Nein	Standardmäßig deaktiviert[115][116]	Ja	Ja	Ja	Nein	Ja	Ja	Ja	Nicht betroffen	Gemindert	Gemindert>[n 19]	Niedrigste Priorität	Nicht betroffen	Verletzlich	Ja[n 18]
	ESR 31.8			Nein	Standardmäßig deaktiviert	Ja	Ja	Ja	Nein	Ja	Ja	Ja	Nicht betroffen	Gemindert	Gemindert	Niedrigste Priorität	Nicht betroffen	Gemindert[119]	Ja[n 18]
	36–38 ESR 38.0			Nein	Standardmäßig deaktiviert	Ja	Ja	Ja	Nein	Ja	Ja	Ja	Nicht betroffen	Gemindert	Gemindert	Nur als Fallback[n 15][120]	Nicht betroffen	Verletzlich	Ja[n 18]
	ESR 38.1–38.8			Nein	Standardmäßig deaktiviert	Ja	Ja	Ja	Nein	Ja	Ja	Ja	Nicht betroffen	Gemindert	Gemindert	Nur als Fallback[n 15]	Nicht betroffen	Gemindert[119]	Ja[n 18]
	39–43			Nein	Nein[121]	Ja	Ja	Ja	Nein	Ja	Ja	Ja	Nicht betroffen	Gemindert	Nicht betroffen	Nur als Fallback[n 15]	Nicht betroffen	Gemindert[119]	Ja[n 18]
	44–48 ESR 45			Nein	Nein	Ja	Ja	Ja	Nein	Ja	Ja	Ja	Nicht betroffen	Gemindert	Nicht betroffen	Standardmäßig deaktiviert[n 16][122][123][124][125]	Nicht betroffen	Gemindert	Ja[n 18]
	49–59 ESR 52			Nein	Nein	Ja	Ja	Ja	Standardmäßig deaktiviert (Entwurfsversion)[126]	Ja	Ja	Ja	Nicht betroffen	Gemindert	Nicht betroffen	Standardmäßig deaktiviert[n 16]	Nicht betroffen	Gemindert	Ja[n 18]
	60–62 ESR 60			Nein	Nein	Ja	Ja	Ja	Ja (Entwurfsversion)	Ja	Ja	Ja	Nicht betroffen	Gemindert	Nicht betroffen	Standardmäßig deaktiviert[n 16]	Nicht betroffen	Gemindert	Ja[n 18]
	63–77 ESR 68			Nein	Nein	Ja	Ja	Ja	Ja	Ja	Ja	Ja	Nicht betroffen	Gemindert	Nicht betroffen	Standardmäßig deaktiviert[n 16]	Nicht betroffen	Gemindert	Ja[n 18]
	78–102 ESR 78 ESR 91.0–91.11 ESR 102.0			Nein	Nein	Standardmäßig deaktiviert[127]	Standardmäßig deaktiviert[127]	Ja	Ja	Ja	Ja	Ja	Nicht betroffen	Gemindert	Nicht betroffen	Standardmäßig deaktiviert[n 16]	Nicht betroffen	Gemindert	Ja[n 18]
	ESR 91.12
	103 ESR 102.1
Browser oder OS -API	Ausführung		Plattformen	SSL 2.0 (unsicher)	SSL 3.0 (unsicher)	TLS 1.0 (veraltet)	TLS 1.1 (veraltet)	TLS 1.2	TLS 1.3	EV -Zertifikat	SHA-2-Zertifikat	ECDSA -Zertifikat	TIER	VERBRECHEN	Pudel (SSLV3)	RC4	Freak	Logjam	Protokollauswahl durch den Benutzer
Microsoft Internet Explorer (1–10)[n 20] Windows Schannel	1.x		Fenster 3.1, 95, Nt,[N 21][n 22] Mac OS 7, 8	Keine SSL/TLS -Unterstützung
	2			Ja	Nein	Nein	Nein	Nein	Nein	Nein	Nein	Nein	Keine SSL 3.0- oder TLS -Unterstützung			Verletzlich	Verletzlich	Verletzlich	-
	3			Ja	Ja[130]	Nein	Nein	Nein	Nein	Nein	Nein	Nein	Verletzlich	Nicht betroffen	Verletzlich	Verletzlich	Verletzlich	Verletzlich	?
	4, 5, 6		Fenster 3.1, 95, 98, Nt, 2000[N 21][n 22] Mac OS 7.1, 8, X, Solaris, HP-UX	Standardmäßig aktiviert	Standardmäßig aktiviert	Standardmäßig deaktiviert[130]	Nein	Nein	Nein	Nein	Nein	Nein	Verletzlich	Nicht betroffen	Verletzlich	Verletzlich	Verletzlich	Verletzlich	Ja[n 10]
	6		Windows XP[n 22]	Standardmäßig aktiviert	Standardmäßig aktiviert	Standardmäßig deaktiviert	Nein	Nein	Nein	Nein	Ja (seit sp3)[n 23][131]	Nein	Gemindert	Nicht betroffen	Verletzlich	Verletzlich	Verletzlich	Verletzlich	Ja[n 10]
	7, 8			Standardmäßig deaktiviert[132]	Standardmäßig aktiviert	Ja[132]	Nein	Nein	Nein	Ja	Ja (seit sp3)[n 23][131]	Nein	Gemindert	Nicht betroffen	Verletzlich	Verletzlich	Verletzlich	Verletzlich	Ja[n 10]
	6		Server 2003[n 22]	Standardmäßig aktiviert	Standardmäßig aktiviert	Standardmäßig deaktiviert	Nein	Nein	Nein	Nein	Ja (KB938397+KB968730)[n 23][131]	Nein	Gemindert	Nicht betroffen	Verletzlich	Verletzlich	Gemindert[135]	Gemindert[136]	Ja[n 10]
	7, 8			Standardmäßig deaktiviert[132]	Standardmäßig aktiviert	Ja[132]	Nein	Nein	Nein	Ja	Ja (KB938397+KB968730)[n 23][131]	Nein	Gemindert	Nicht betroffen	Verletzlich	Verletzlich	Gemindert[135]	Gemindert[136]	Ja[n 10]
	7, 8, 9		Windows Vista	Standardmäßig deaktiviert	Standardmäßig aktiviert	Ja	Nein	Nein	Nein	Ja	Ja	Ja[78]	Gemindert	Nicht betroffen	Verletzlich	Verletzlich	Gemindert[135]	Gemindert[136]	Ja[n 10]
	7, 8, 9		Server 2008	Standardmäßig deaktiviert	Standardmäßig aktiviert	Ja	Standardmäßig deaktiviert[137] (KB4019276)	Standardmäßig deaktiviert[137] (KB4019276)	Nein	Ja	Ja	Ja[78]	Gemindert	Nicht betroffen	Verletzlich	Verletzlich	Gemindert[135]	Gemindert[136]	Ja[n 10]
	8, 9, 10		Fenster 7/8 Server 2008 R2/2012	Standardmäßig deaktiviert	Standardmäßig aktiviert	Ja	Standardmäßig deaktiviert[138]	Standardmäßig deaktiviert[138]	Nein	Ja	Ja	Ja	Gemindert	Nicht betroffen	Verletzlich	Niedrigste Priorität[139][n 24]	Gemindert[135]	Gemindert[136]	Ja[n 10]
Internet Explorer 11[n 20] Windows Schannel	11		Windows 7 Server 2008 R2	Standardmäßig deaktiviert	Standardmäßig deaktiviert[n 25]	Ja	Ja[144]	Ja[144]	Nein	Ja	Ja	Ja	Gemindert	Nicht betroffen	Gemindert[n 25]	Standardmäßig deaktiviert[n 16]	Gemindert[135]	Gemindert[136]	Ja[n 10]
	11		Windows 8.1
	11[n 26][145]		Server 2012 Server 2012 R2
Browser oder OS -API	Ausführung		Plattformen	SSL 2.0 (unsicher)	SSL 3.0 (unsicher)	TLS 1.0 (veraltet)	TLS 1.1 (veraltet)	TLS 1.2	TLS 1.3	EV -Zertifikat	SHA-2-Zertifikat	ECDSA -Zertifikat	TIER	VERBRECHEN	Pudel (SSLV3)	RC4	Freak	Logjam	Protokollauswahl durch den Benutzer
Microsoft Edge (12–18) (EdgeHtml-basiert) Nur Kunde Internet Explorer 11[n 20] Windows Schannel	11	12–13	Windows 10 1507–1511	Standardmäßig deaktiviert	Standardmäßig deaktiviert	Ja	Ja	Ja	Nein	Ja	Ja	Ja	Gemindert	Nicht betroffen	Gemindert	Standardmäßig deaktiviert[n 16]	Gemindert	Gemindert	Ja[n 10]
	11	14–18 (Nur Client)	Windows 10 1607–2004 Windows Server (SAC) 1709–2004	Nein[146]	Standardmäßig deaktiviert	Ja	Ja	Ja	Nein	Ja	Ja	Ja	Gemindert	Nicht betroffen	Gemindert	Standardmäßig deaktiviert[n 16]	Gemindert	Gemindert	Ja[n 10]
Internet Explorer 11[n 20] Windows Schannel	11[n 27]		Windows 10 20H2 Windows Server (SAC) 20H2	Nein	Standardmäßig deaktiviert	Ja	Ja	Ja	Nein	Ja	Ja	Ja	Gemindert	Nicht betroffen	Gemindert	Standardmäßig deaktiviert[n 16]	Gemindert	Gemindert	Ja[n 10]
			Windows 10 21H1
			Windows 10 21H2
			Windows 10 22H2
Windows Schannel	Windows 11 21H2			Nein	Standardmäßig deaktiviert	Ja	Ja	Ja	Ja[147]	Ja	Ja	Ja	Gemindert	Nicht betroffen	Gemindert	Standardmäßig deaktiviert[n 16]	Gemindert	Gemindert	Ja[n 10]
	Windows 11 22H2			Nein	Standardmäßig deaktiviert	Ja	Ja	Ja	Ja	Ja	Ja	Ja	Gemindert	Nicht betroffen	Gemindert	Standardmäßig deaktiviert[n 16]	Gemindert	Gemindert	Ja[n 10]
Internet Explorer 11[n 20] zum LTSB/LTSC Windows Schannel	11		Windows 10 LTSB 2015 (1507)	Standardmäßig deaktiviert	Standardmäßig deaktiviert	Ja	Ja	Ja	Nein	Ja	Ja	Ja	Gemindert	Nicht betroffen	Gemindert	Standardmäßig deaktiviert[n 16]	Gemindert	Gemindert	Ja[n 10]
	11		Windows 10 LTSB 2016 (1607)	Nein[146]	Standardmäßig deaktiviert	Ja	Ja	Ja	Nein	Ja	Ja	Ja	Gemindert	Nicht betroffen	Gemindert	Standardmäßig deaktiviert[n 16]	Gemindert	Gemindert	Ja[n 10]
	11		Windows Server 2016 (LTSB/1607)	Nein[146]	Standardmäßig deaktiviert	Ja	Ja	Ja	Nein	Ja	Ja	Ja	Gemindert	Nicht betroffen	Gemindert	Standardmäßig deaktiviert[n 16]	Gemindert	Gemindert	Ja[n 10]
	11		Windows 10 LTSC 2019 (1809) Windows Server 2019 (LTSC/1809)	Nein	Standardmäßig deaktiviert	Ja	Ja	Ja	Nein	Ja	Ja	Ja	Gemindert	Nicht betroffen	Gemindert	Standardmäßig deaktiviert[n 16]	Gemindert	Gemindert	Ja[n 10]
	11		Windows Server 2022 (LTSC/21H2)	Nein	Standardmäßig deaktiviert	Ja	Ja	Ja	Ja	Ja	Ja	Ja	Gemindert	Nicht betroffen	Gemindert	Standardmäßig deaktiviert[n 16]	Gemindert	Gemindert	Ja[n 10]
	11		Windows 10 LTSC 2021 (21H2)	Nein	Standardmäßig deaktiviert	Ja	Ja	Ja	Nein[147]	Ja	Ja	Ja	Gemindert	Nicht betroffen	Gemindert	Standardmäßig deaktiviert[n 16]	Gemindert	Gemindert	Ja[n 10]
Browser oder OS -API	Ausführung		Plattformen	SSL 2.0 (unsicher)	SSL 3.0 (unsicher)	TLS 1.0 (veraltet)	TLS 1.1 (veraltet)	TLS 1.2	TLS 1.3	EV -Zertifikat	SHA-2-Zertifikat	ECDSA -Zertifikat	TIER	VERBRECHEN	Pudel (SSLV3)	RC4	Freak	Logjam	Protokollauswahl durch den Benutzer
Microsoft Internet Explorer Mobile[n 20]	7, 9		Windows Phone 7, 7.5, 7.8	Standardmäßig deaktiviert[132]	Standardmäßig aktiviert	Ja	Nein	Nein	Nein	Nein	Ja	Ja[148]	?	Nicht betroffen	Verletzlich	Verletzlich	Verletzlich	Verletzlich	Nur mit Drittanbieter -Tools[n 28]
	10		Windows Phone 8	Standardmäßig deaktiviert	Standardmäßig aktiviert	Ja	Standardmäßig deaktiviert[150]	Standardmäßig deaktiviert[150]	Nein	Nein	Ja	Ja[151]	Gemindert	Nicht betroffen	Verletzlich	Verletzlich	Verletzlich	Verletzlich	Nur mit Drittanbieter -Tools[n 28]
	11		Windows Phone 8.1	Standardmäßig deaktiviert	Standardmäßig aktiviert	Ja	Ja[152]	Ja[152]	Nein	Nein	Ja	Ja	Gemindert	Nicht betroffen	Verletzlich	Nur als Fallback[n 15][153][154]	Verletzlich	Verletzlich	Nur mit Drittanbieter -Tools[n 28]
Microsoft Edge (13–15) (EdgeHtml-basiert)[n 29]	13		Windows 10 Mobile 1511	Standardmäßig deaktiviert	Standardmäßig deaktiviert	Ja	Ja	Ja	Nein	Ja	Ja	Ja	Gemindert	Nicht betroffen	Gemindert	Standardmäßig deaktiviert[n 16]	Gemindert	Gemindert	Nein
	14, 15		Windows 10 Mobile 1607–1709	Nein[146]	Standardmäßig deaktiviert	Ja	Ja	Ja	Nein	Ja	Ja	Ja	Gemindert	Nicht betroffen	Gemindert	Standardmäßig deaktiviert[n 16]	Gemindert	Gemindert	Nein
Browser oder OS -API	Ausführung		Plattformen	SSL 2.0 (unsicher)	SSL 3.0 (unsicher)	TLS 1.0 (veraltet)	TLS 1.1 (veraltet)	TLS 1.2	TLS 1.3	EV -Zertifikat	SHA-2-Zertifikat	ECDSA -Zertifikat	TIER	VERBRECHEN	Pudel (SSLV3)	RC4	Freak	Logjam	Protokollauswahl durch den Benutzer
Apfelsafari[n 30]	1		Mac OS X 10.2, 10.3	Nein[159]	Ja	Ja	Nein	Nein	Nein	Nein	Nein	Nein	Verletzlich	Nicht betroffen	Verletzlich	Verletzlich	Verletzlich	Verletzlich	Nein
	2–5		Mac OS X 10.4, 10.5, Gewinnen Sie XP	Nein	Ja	Ja	Nein	Nein	Nein	Da v3.2	Nein	Nein	Verletzlich	Nicht betroffen	Verletzlich	Verletzlich	Verletzlich	Verletzlich	Nein
	3–5		Vista, Gewinnen Sie 7	Nein	Ja	Ja	Nein	Nein	Nein	Da v3.2	Nein	Ja[148]	Verletzlich	Nicht betroffen	Verletzlich	Verletzlich	Verletzlich	Verletzlich	Nein
	4–6		Mac OS X 10.6, 10.7	Nein	Ja	Ja	Nein	Nein	Nein	Ja	Ja[77]	Ja[78]	Verletzlich	Nicht betroffen	Verletzlich	Verletzlich	Verletzlich	Verletzlich	Nein
	6		OS X 10.8	Nein	Ja	Ja	Nein	Nein	Nein	Ja	Ja	Ja[78]	Gemindert[n 31]	Nicht betroffen	Gemindert[n 32]	Verletzlich[n 32]	Gemindert[165]	Verletzlich	Nein
	7, 9		OS X 10.9	Nein	Ja	Ja	Ja[166]	Ja[166]	Nein	Ja	Ja	Ja	Gemindert[161]	Nicht betroffen	Gemindert[n 32]	Verletzlich[n 32]	Gemindert[165]	Verletzlich	Nein
	8–10		OS X 10.10	Nein	Ja	Ja	Ja	Ja	Nein	Ja	Ja	Ja	Gemindert	Nicht betroffen	Gemindert[n 32]	Niedrigste Priorität[167][n 32]	Gemindert[165]	Gemindert[168]	Nein
	9–11		OS X 10.11	Nein	Nein	Ja	Ja	Ja	Nein	Ja	Ja	Ja	Gemindert	Nicht betroffen	Nicht betroffen	Niedrigste Priorität	Gemindert	Gemindert	Nein
	10–13		Mac OS 10.12, 10.13	Nein	Nein	Ja	Ja	Ja	Nein	Ja	Ja	Ja	Gemindert	Nicht betroffen	Nicht betroffen	Standardmäßig deaktiviert[n 16]	Gemindert	Gemindert	Nein
	12–14		macOS 10.14	Nein	Nein	Ja	Ja	Ja	Ja (seit MacOS 10.14.4)[169]	Ja	Ja	Ja	Gemindert	Nicht betroffen	Nicht betroffen	Standardmäßig deaktiviert[n 16]	Gemindert	Gemindert	Nein
	13, 14	15	macOS 10.15	Nein	Nein	Ja	Ja	Ja	Ja	Ja	Ja	Ja	Gemindert	Nicht betroffen	Nicht betroffen	Standardmäßig deaktiviert[n 16]	Gemindert	Gemindert	Nein
	14	15	MacOS 11	Nein	Nein	Ja	Ja	Ja	Ja	Ja	Ja	Ja	Gemindert	Nicht betroffen	Nicht betroffen	Standardmäßig deaktiviert[n 16]	Gemindert	Gemindert	Nein
	15		MacOS 12	Nein	Nein	Ja	Ja	Ja	Ja	Ja	Ja	Ja	Gemindert	Nicht betroffen	Nicht betroffen	Standardmäßig deaktiviert[n 16]	Gemindert	Gemindert	Nein
	16		Macos 13	Nein	Nein	?	?	Ja	Ja	Ja	Ja	Ja	Gemindert	Nicht betroffen	Nicht betroffen	Standardmäßig deaktiviert[n 16]	Gemindert	Gemindert	Nein
Browser oder OS -API	Ausführung		Plattformen	SSL 2.0 (unsicher)	SSL 3.0 (unsicher)	TLS 1.0 (veraltet)	TLS 1.1 (veraltet)	TLS 1.2	TLS 1.3	EV -Zertifikat	SHA-2-Zertifikat	ECDSA -Zertifikat	TIER	VERBRECHEN	Pudel (SSLV3)	RC4	Freak	Logjam	Protokollauswahl durch den Benutzer
Apfelsafari (Handy, Mobiltelefon)[n 33]	3		iPhone -Betriebssystem 1, 2	Nein[173]	Ja	Ja	Nein	Nein	Nein	Nein	Nein	Nein	Verletzlich	Nicht betroffen	Verletzlich	Verletzlich	Verletzlich	Verletzlich	Nein
	4, 5		iPhone OS 3, iOS 4	Nein	Ja	Ja	Nein	Nein	Nein	Ja[174]	Ja	Seit iOS 4[148]	Verletzlich	Nicht betroffen	Verletzlich	Verletzlich	Verletzlich	Verletzlich	Nein
	5, 6		iOS 5, 6	Nein	Ja	Ja	Ja[170]	Ja[170]	Nein	Ja	Ja	Ja	Verletzlich	Nicht betroffen	Verletzlich	Verletzlich	Verletzlich	Verletzlich	Nein
	7		iOS 7	Nein	Ja	Ja	Ja	Ja	Nein	Ja	Ja	Ja[175]	Gemindert[176]	Nicht betroffen	Verletzlich	Verletzlich	Verletzlich	Verletzlich	Nein
	8		iOS 8	Nein	Ja	Ja	Ja	Ja	Nein	Ja	Ja	Ja	Gemindert	Nicht betroffen	Gemindert[n 32]	Niedrigste Priorität[177][n 32]	Gemindert[178]	Gemindert[179]	Nein
	9		iOS 9	Nein	Nein	Ja	Ja	Ja	Nein	Ja	Ja	Ja	Gemindert	Nicht betroffen	Nicht betroffen	Niedrigste Priorität	Gemindert	Gemindert	Nein
	10, 11		iOS 10, 11	Nein	Nein	Ja	Ja	Ja	Nein	Ja	Ja	Ja	Gemindert	Nicht betroffen	Nicht betroffen	Standardmäßig deaktiviert[n 16]	Gemindert	Gemindert	Nein
	12		iOS 12	Nein	Nein	Ja	Ja	Ja	Seit iOS 12.2[169]	Ja	Ja	Ja	Gemindert	Nicht betroffen	Nicht betroffen	Standardmäßig deaktiviert[n 16]	Gemindert	Gemindert	Nein
	13, 14		iOS 13, 14	Nein	Nein	Ja	Ja	Ja	Ja	Ja	Ja	Ja	Gemindert	Nicht betroffen	Nicht betroffen	Standardmäßig deaktiviert[n 16]	Gemindert	Gemindert	Nein
			iPados 13, 14
	15		iOS 15	Nein	Nein	Ja	Ja	Ja	Ja	Ja	Ja	Ja	Gemindert	Nicht betroffen	Nicht betroffen	Standardmäßig deaktiviert[n 16]	Gemindert	Gemindert	Nein
			iPados 15
	16		iOS 16	Nein	Nein	?	?	Ja	Ja	Ja	Ja	Ja	Gemindert	Nicht betroffen	Nicht betroffen	Standardmäßig deaktiviert[n 16]	Gemindert	Gemindert	Nein
			iPados 16
Browser oder OS -API	Ausführung		Plattformen	SSL 2.0 (unsicher)	SSL 3.0 (unsicher)	TLS 1.0 (veraltet)	TLS 1.1 (veraltet)	TLS 1.2	TLS 1.3	Ev[n 3]	SHA-2	ECDSA	TIER[n 4]	VERBRECHEN[n 5]	Pudel (SSLV3)[n 6]	RC4[n 7]	Freak[79][80]	Logjam	Protokollauswahl durch den Benutzer
Google Android OS[180]	Android 1.0–4.0.4			Nein	Standardmäßig aktiviert	Ja	Nein	Nein	Nein	?	Ja[77]	Seit 3.0[148][78]	?	?	Verletzlich	Verletzlich	Verletzlich	Verletzlich	Nein
	Android 4.1–4.4.4			Nein	Standardmäßig aktiviert	Ja	Standardmäßig deaktiviert[181]	Standardmäßig deaktiviert[181]	Nein	?	Ja	Ja	?	?	Verletzlich	Verletzlich	Verletzlich	Verletzlich	Nein
	Android 5.0–5.0.2			Nein	Standardmäßig aktiviert	Ja	Ja[181][182]	Ja[181][182]	Nein	?	Ja	Ja	?	?	Verletzlich	Verletzlich	Verletzlich	Verletzlich	Nein
	Android 5.1–5.1.1			Nein	Standardmäßig deaktiviert	Ja	Ja	Ja	Nein	?	Ja	Ja	?	?	Nicht betroffen	Nur als Fallback[n 15]	Gemindert	Gemindert	Nein
	Android 6.0–7.1.2			Nein	Standardmäßig deaktiviert	Ja	Ja	Ja	Nein	?	Ja	Ja	?	?	Nicht betroffen	Standardmäßig deaktiviert	Gemindert	Gemindert	Nein
	Android 8.0–9			Nein	Nein[183]	Ja	Ja	Ja	Nein	?	Ja	Ja	?	?	Nicht betroffen	Standardmäßig deaktiviert	Gemindert	Gemindert	Nein
	Android 10			Nein	Nein	Ja	Ja	Ja	Ja	?	Ja	Ja	?	?	Nicht betroffen	Standardmäßig deaktiviert	Gemindert	Gemindert	Nein
	Android 11			Nein	Nein	Ja	Ja	Ja	Ja	?	Ja	Ja	?	?	Nicht betroffen	Standardmäßig deaktiviert	Gemindert	Gemindert	Nein
	Android 12/12l			Nein	Nein	?	?	Ja	Ja	?	Ja	Ja	?	?	Nicht betroffen	Standardmäßig deaktiviert	Gemindert	Gemindert	Nein
	Android 13			Nein	Nein	?	?	Ja	Ja	?	Ja	Ja	?	?	Nicht betroffen	Standardmäßig deaktiviert	Gemindert	Gemindert	Nein
Browser oder OS -API	Ausführung		Plattformen	SSL 2.0 (unsicher)	SSL 3.0 (unsicher)	TLS 1.0 (veraltet)	TLS 1.1 (veraltet)	TLS 1.2	TLS 1.3	EV -Zertifikat	SHA-2-Zertifikat	ECDSA -Zertifikat	TIER	VERBRECHEN	Pudel (SSLV3)	RC4	Freak	Logjam	Protokollauswahl durch den Benutzer

Farbe oder Notiz		Bedeutung
Browserversion	Plattform
Browserversion	Betriebssystem	Zukünftige Veröffentlichung; in Entwicklung
Browserversion	Betriebssystem	Aktuelle neueste Version
Browserversion	Betriebssystem	Frühere Veröffentlichung; immer noch unterstützt
Browserversion	Betriebssystem	Frühere Veröffentlichung; Langzeitunterstützung Immer noch aktiv, wird aber in weniger als 12 Monaten enden
Browserversion	Betriebssystem	Frühere Veröffentlichung; nicht länger unterstützt
-	Betriebssystem	Gemischt/nicht spezifiziert
Betriebssystem (Version+)	Mindestbedarfsbedarfs Betriebssystemversion (für unterstützte Versionen des Browsers)
Betriebssystem	Dafür nicht mehr unterstützt Betriebssystem

Anmerkungen

Bibliotheken

Die meisten SSL- und TLS -Programmierbibliotheken sind Kostenlose und Open -Source -Software.

• Boringssl, eine Gabel von OpenSSL für Chrom/Chrom und Android sowie andere Google -Anwendungen.
• Botaner, eine bsd-lizenzierte kryptografische Bibliothek in C ++.
• BSAFE Micro Edition Suite: Eine Multi-Plattform-Implementierung von TLS geschrieben in C Mit einem von FIPS-validierten kryptografischen Modul
• BSAFE SSL-J: Eine TLS-Bibliothek, die sowohl eine proprietäre API als auch eine proprietäre API bietet JSSE API mit FIPS-validiertem kryptografischem Modul
• Cryptlib: Eine tragbare Open -Source -Kryptographie -Bibliothek (beinhaltet die TLS/SSL -Implementierung)
• Delphi Programmierer können eine Bibliothek namens verwenden Indy das nutzt OpenSSL oder alternativ ICs, die TLS 1.3 jetzt unterstützen.
• Gnutls: Eine kostenlose Implementierung (LGPL lizenziert)
• Java Secure Socket -Erweiterung (JSSE): die Java API- und Anbieter -Implementierung (Sunjsse genannt)^[184]
• Libressl: Eine Gabel von OpenSSL durch OpenBSD -Projekt.
• Matrixssl: Eine doppelte lizenzierte Implementierung
• Mbed TLS (zuvor PolarSL): Eine winzige Implementierung der SSL -Bibliothek für eingebettete Geräte, die zur einfachen Gebrauchsguthaben ausgelegt sind
• Netzwerksicherheitsdienste: FIPS 140 Validierte Open -Source -Bibliothek
• OpenSSL: Eine kostenlose Implementierung (BSD -Lizenz mit einigen Erweiterungen)
• Schannel: Eine Implementierung von SSL und TLS Microsoft Windows als Teil seines Pakets.
• Sichern Sie den Transport: Eine Implementierung von SSL und TLS, die in verwendet werden Os x und iOS als Teil ihrer Pakete.
• Wolfssl (zuvor Cyassl): Eingebettete SSL/TLS -Bibliothek mit einem starken Fokus auf Geschwindigkeit und Größe.

Bibliotheksunterstützung für TLS/SSL

Implementierung	SSL 2.0 (unsicher)	SSL 3.0 (unsicher)	TLS 1.0	TLS 1.1	TLS 1.2	TLS 1.3
Botaner	Nein	Nein[185]	Ja	Ja	Ja	?
BSAFE Micro Edition Suite	Nein	Standardmäßig deaktiviert	Ja	Ja	Ja	In Entwicklung
BSAFE SSL-J	Nein	Standardmäßig deaktiviert	Ja	Ja	Ja	Ja
Cryptlib	Nein	Standardmäßig zur Kompilierungszeit deaktiviert	Ja	Ja	Ja	?
Gnutls	Nein[a]	Standardmäßig deaktiviert[186]	Ja	Ja	Ja	Ja[187]
JSSE	Nein[a]	Standardmäßig deaktiviert[188]	Standardmäßig deaktiviert[189]	Standardmäßig deaktiviert[189]	Ja	Ja
Libressl	Nein[190]	Nein[191]	Ja	Ja	Ja	Ab Version 3.2.2[192][193]
Matrixssl	Nein	Standardmäßig zur Kompilierungszeit deaktiviert[194]	Ja	Ja	Ja	Jawohl (Entwurfsversion)
Mbed TLS (zuvor Polarsl)	Nein	Standardmäßig deaktiviert[195]	Ja	Ja	Ja	Ja
Netzwerksicherheitsdienste	Nein[b]	Standardmäßig deaktiviert[196]	Ja	Ja[197]	Ja[198]	Ja[199]
OpenSSL	Nein[200]	Standardmäßig aktiviert	Ja	Ja[201]	Ja[201]	Ja[202]
Schannel XP/2003[203]	Standardmäßig von MSIE 7 deaktiviert	Standardmäßig aktiviert	Standardmäßig von MSIE 7 aktiviert	Nein	Nein	Nein
Schannel Vista[204]	Standardmäßig deaktiviert	Standardmäßig aktiviert	Ja	Nein	Nein	Nein
Schannel 2008[204]	Standardmäßig deaktiviert	Standardmäßig aktiviert	Ja	Standardmäßig deaktiviert (KB4019276)[137]	Standardmäßig deaktiviert (KB4019276)[137]	Nein
Schannel 7/2008 R2[205]	Standardmäßig deaktiviert	Standardmäßig in MSIE 11 deaktiviert	Ja	Standardmäßig von MSIE 11 aktiviert	Standardmäßig von MSIE 11 aktiviert	Nein
Schannel 8/2012[205]	Standardmäßig deaktiviert	Standardmäßig aktiviert	Ja	Standardmäßig deaktiviert	Standardmäßig deaktiviert	Nein
Schannel 8.1/2012 R2, 10 V1507 & V1511[205]	Standardmäßig deaktiviert	Standardmäßig in MSIE 11 deaktiviert	Ja	Ja	Ja	Nein
Schannel 10 V1607/2016[146]	Nein	Standardmäßig deaktiviert	Ja	Ja	Ja	Nein
Schannel 10 v1903[206]	Nein	Standardmäßig deaktiviert	Ja	Ja	Ja	Nein
Schannel 10 V21H1[207]	Nein	Standardmäßig deaktiviert	Ja	Ja	Ja	Nein
Schannel 11/2022[208]	Nein	Standardmäßig deaktiviert	Ja	Ja	Ja	Ja
Sichere Transport OS X 10.2–10,8/iOS 1–4	Ja	Ja	Ja	Nein	Nein	?
Sichere Transport OS X 10.9–10.10/iOS 5–8	Nein[c]	Ja	Ja	Ja[c]	Ja[c]	?
Sichere Transport OS X 10.11/iOS 9	Nein	Nein[c]	Ja	Ja	Ja	?
Samen7 TLS/SSL -Bibliothek	Nein	Ja	Ja	Ja	Ja	?
Wolfssl (zuvor Cyassl)	Nein	Standardmäßig deaktiviert[209]	Ja	Ja	Ja	Ja[210]
Implementierung	SSL 2.0 (unsicher)	SSL 3.0 (unsicher)	TLS 1.0	TLS 1.1	TLS 1.2	TLS 1.3

Ein Papier, das 2012 vorgestellt wurde ACM Konferenz über Computer- und Kommunikationssicherheit^[214] zeigten, dass nur wenige Anwendungen einige dieser SSL -Bibliotheken korrekt verwendeten, was zu Schwachstellen führte. Nach Angaben der Autoren:

"Die Hauptursache für die meisten dieser Schwachstellen ist das schreckliche Design der API für die zugrunde liegenden SSL-Bibliotheken. Anstatt hochrangige Sicherheitseigenschaften von Netzwerktunneln wie Vertraulichkeit und Authentifizierung auszudrücken, enthüllen diese APIs Details des SSL-Protokolls auf niedrige Ebene des SSL-Protokolls Für Anwendungsentwickler. Infolgedessen verwenden Entwickler die SSL -APIs häufig fälschlicherweise, wodurch ihre vielfältigen Parameter, Optionen, Nebenwirkungen und Rückgabeteile falsch interpretiert und missverstanden werden. "

Andere Verwendungen

Das Simple Mail Transfer Protocol (SMTP) kann auch durch TLS geschützt werden. Diese Anwendungen verwenden öffentliche Schlüsselzertifikate Um die Identität von Endpunkten zu überprüfen.

TLS kann auch zum Tunneln eines gesamten Netzwerkstapels verwendet werden, um a zu erstellen VPN, was der Fall ist OpenVPN und Openconnect. Viele Anbieter haben inzwischen die Verschlüsselungs- und Authentifizierungsfunktionen von TLS mit Genehmigung verheiratet. Seit Ende der neunziger Jahre wurde auch eine erhebliche Entwicklung bei der Erstellung von Client-Technologie außerhalb von Webbrowsern durchgeführt, um die Unterstützung für Client/Server-Anwendungen zu ermöglichen. Im Vergleich zu traditionellem Ipsec VPN Technologies, TLS hat einige inhärente Vorteile in der Firewall und Nat Durchqueren, die es einfacher machen, große Fernzugriffspopulationen zu verwalten.

TLS ist auch eine Standardmethode zum Schutz Gesprächs Protokoll (SIP) Anwendungssignalisierung. TLs können zur Authentifizierung und Verschlüsselung der SIP -Signalübertragung verwendet werden Voip und andere SIP-basierte Anwendungen.^[215]

Sicherheit

Angriffe gegen TLS/SSL

Im Folgenden sind signifikante Angriffe gegen TLS/SSL aufgeführt.

Im Februar 2015 gab IETF einen Informations -RFC heraus^[216] Zusammenfassung der verschiedenen bekannten Angriffe gegen TLS/SSL.

Neuverhandlungangriff

Eine Anfälligkeit des Neuverhandlungsverfahrens wurde im August 2009 entdeckt, das zu Klartext -Injektionsangriffen gegen SSL 3.0 und alle aktuellen Versionen von TLS führen kann.^[217] Beispielsweise ermöglicht es einem Angreifer, der eine HTTPS -Verbindung entführen kann, um seine eigenen Anfragen in den Beginn der Konversation zu spleifen, die der Client mit dem Webserver hat. Der Angreifer kann die Kunden-Server-Kommunikation nicht tatsächlich entschlüsseln, daher unterscheidet sich sie von einem typischen Mann-in-the-Middle-Angriff. Eine kurzfristige Korrektur besteht darin, dass Webserver keine Neuverhandlung abgeben, was normalerweise keine anderen Änderungen erfordert, es sei denn Client -Zertifikat Authentifizierung wird verwendet. Um die Sicherheitsanfälligkeit zu beheben, wurde für TLS eine Neuverhandlungsanzeigeerweiterung vorgeschlagen. Der Client und der Server müssen Informationen zu früheren Handshakes in jeder Neuverhandlung mit Handshakes einbeziehen und überprüfen.^[218] Diese Erweiterung ist zu einem vorgeschlagenen Standard geworden und wurde mit der Nummer zugewiesen RFC 5746. Der RFC wurde von mehreren Bibliotheken implementiert.^{[219][220][221]}

Downgrade -Angriffe herabstufen: Freak -Angriff und Logjam -Angriff

Ein Protokoll Downgrade -Angriff (Auch als Rollback -Angriff genannt) tritt einen Webserver dazu, Verbindungen mit früheren Versionen von TLS (wie SSLV2) zu verhandeln, die längst als unsicher aufgegeben wurden.

Frühere Modifikationen an den ursprünglichen Protokollen wie Fehlstart^[222] (Angenommen und aktiviert von Google Chrome^[223]) oder Snap StartBerichten zufolge Einführung von begrenzten TLS -Protokoll -Downgrade -Angriffen^[224] oder zugelassene Änderungen an der CIPHER -Suite -Liste, die vom Client an den Server gesendet wurde. Auf diese Weise kann es einem Angreifer gelingen, die Auswahl der Cipher Suite zu beeinflussen, um die Verhandlung der CIPHER -Suite herunterzugraben, um entweder einen schwächeren symmetrischen Verschlüsselungsalgorithmus oder einen schwächeren Schlüsselaustausch zu verwenden.^[225] Ein Papier, das bei einem vorgestellt wurde ACM Konferenz über Computer- und Kommunikationssicherheit 2012 zeigte die Verlängerung der Fehlstart gefährdet: Unter bestimmten Umständen könnte es einem Angreifer ermöglichen, die Verschlüsselungsschlüssel offline wiederherzustellen und auf die verschlüsselten Daten zuzugreifen.^[226]

Durch Verschlüsselungsanschläge können Server und Clients gezwungen werden, eine Verbindung mit kryptografisch schwachen Schlüssel zu verhandeln. 2014 a der Mann in der Mitte Der Angriff namens Freak wurde entdeckt, der die Beeinflussung des OpenSSL Stapel, die Standardeinstellung Android Webbrowser und einige Safari Browser.^[227] Der Angriff beinhaltete das Trick von Server, eine TLS -Verbindung mit kryptografisch schwachen 512 -Bit -Verschlüsselungsschlüssel zu verhandeln.

Logjam ist a Sicherheitsnutzung Entdeckt im Mai 2015, das die Möglichkeit ausnutzt, das Erbe zu verwenden "Export-Grade" 512-Bit Diffie -Hellman Gruppen aus den 1990er Jahren.^[228] Es zwingt anfällige Server dazu, auf kryptografisch schwache 512-Bit-Differ-Hellman-Gruppen herabzustufen. Ein Angreifer kann dann den Tasten abgeben, die der Client und der Server verwenden, um die zu bestimmen Diffie -Hellman Key Exchange.

Cross-Protocol-Angriffe: Ertrinken

Das Ertrinken Angriff ist ein Exploit, der Server angreift, die zeitgenössische SSL/TLS-Protokollsuiten unterstützen, indem sie ihre Unterstützung für das veraltete, unsichere SSLV2-Protokoll ausnutzen, um einen Angriff auf Verbindungen mithilfe aktueller Protokolle zu nutzen, die ansonsten sicher sind.^[229][230] Ertrinken nutzt eine Sicherheitsanfälligkeit in den verwendeten Protokollen und der Konfiguration des Servers und nicht in einem bestimmten Implementierungsfehler. Die vollständigen Details von Ertrinken wurden im März 2016 zusammen mit einem Patch für den Exploit bekannt gegeben. Zu dieser Zeit gehörten mehr als 81.000 der 1 Million beliebtesten Websites zu den geschützten TLS -Websites, die für den ertrinken Angriff anfällig waren.^[230]

Tierangriff

Am 23. September 2011 zeigten die Forscher Thai Duong und Juliano Rizzo einen Beweis für das Konzept namens TIER (Browser -Ausbeutung gegen SSL/TLS)^[231] Verwendung einer Java Applet verletzen Gleiche Ursprungsrichtlinie Einschränkungen für ein lange Bekannter Verschlüsselungsblockkettung (CBC) Verwundbarkeit in TLS 1.0:^[232][233] Ein Angreifer beobachtet 2 aufeinanderfolgende Chiffretextblöcke C0, C1 kann testen, ob der Klartextblock P1 gleich X ist, indem der nächste Klartextblock P2 = x ausgewählt wird ${\ displayStyle \ oplus}$ C0 ${\ displayStyle \ oplus}$ C1; Nach dem CBC -Betrieb C2 = E (C1 ${\ displayStyle \ oplus}$ P2) = e (c1 ${\ displayStyle \ oplus}$ x ${\ displayStyle \ oplus}$ C0 ${\ displayStyle \ oplus}$ C1) = e (C0 ${\ displayStyle \ oplus}$ x), das gleich C1 ist, wenn x = p1. Praktisch Heldentaten war dafür nicht zuvor demonstriert worden Verletzlichkeit, was ursprünglich entdeckt wurde von Phillip Rogaway^[234] Im Jahr 2002 war die Anfälligkeit des Angriffs im Jahr 2006 mit TLS 1.1 festgelegt, TLS 1.1 hatte jedoch vor dieser Angriffsdemonstration keine breite Akzeptanz festgestellt.

RC4 als Stream -Chiffre ist immun gegen Beast -Angriff. Daher wurde RC4 häufig verwendet, um den Beast -Angriff auf der Serverseite zu mildern. Im Jahr 2013 fanden die Forscher jedoch mehr Schwächen in RC4. Danach wurde das Aktivieren von RC4 auf der Serverseite nicht mehr empfohlen.^[235]

Chrom und Firefox selbst sind nicht anfällig für Beast -Angriffe,^[85][106] Mozilla hat jedoch ihre aktualisiert NSS Bibliotheken zur Minderung von Tier-ähnlich Anschläge. NSS wird von verwendet von Mozilla Firefox und Google Chrome SSL implementieren. Etwas Webserver Die SSL -Spezifikation kann dadurch nicht mehr funktionieren.^[236]

Microsoft Veröffentlicht am 10. Januar 2012, das die Beast-Sicherheitsanfälligkeit durch die Art und Weise, wie der Windows-Kanal (Windows Secure Channel (), veröffentlicht wurde (das Beast-Schwachstellen wurde festgelegt (das Windows-Kanal (Schannel) Die Komponente überträgt verschlüsselte Netzwerkpakete vom Serverende.^[237] Benutzer von Internet Explorer (vor Version 11), die auf älteren Versionen von Windows ausgeführt werden (Windows 7, Windows 8 und Windows Server 2008 R2) kann die Verwendung von TLS auf 1,1 oder höher beschränken.

Apfel Feste Beast-Verwundbarkeit durch Implementierung von 1/n-1-Split und standardmäßig einschalten OS X Mavericks, veröffentlicht am 22. Oktober 2013.^[238]

Kriminalitäts- und Verletzungsangriffe

Die Autoren des Beast -Angriffs sind auch die Schöpfer des späteren VERBRECHEN Angriff, der es einem Angreifer ermöglichen kann, den Inhalt von Web -Cookies wiederherzustellen, wenn Datenkompression wird zusammen mit TLS verwendet.^[239][240] Wenn verwendet, um den Geheiminhalt wiederherzustellen Authentifizierung CookiesEs ermöglicht einem Angreifer, durchzuführen Session Hijacking Auf einer authentifizierten Websitzung.

Während der Kriminalitätsangriff als allgemeiner Angriff vorgestellt wurde, der effektiv gegen eine große Anzahl von Protokollen wirken könnte, einschließlich, aber nicht beschränkt auf TLS und Anwendungsschichtprotokolle wie Spdy oder HttpEs wurden nur Heldentaten gegen TLS und SPDY demonstriert und weitgehend in Browsern und Servern gemildert. Das Verbrechen nutzt dagegen aus HTTP -Komprimierung wurde überhaupt nicht gemindert, obwohl die Autoren der Kriminalität gewarnt haben, dass diese Sicherheitsanfälligkeit noch weit verbreitet sein könnte als die Komprimierung von SPDY und TLS zusammen. 2013 eine neue Instanz des Kriminalitätsangriffs gegen die HTTP -Komprimierung, die genannt wird BRUCH, wurde vorgestellt. Basierend auf dem Kriminalitätsangriff kann ein Breach -Angriff Anmeldestoken, E -Mail -Adressen oder andere vertrauliche Informationen aus TLS in nur 30 Sekunden (abhängig von der Anzahl der zu extrahierenden Bytes) extrahieren, vorausgesetzt Ein böswilliger Weblink oder kann Inhalte in gültige Seiten einfließen, die der Benutzer besucht (z. B. ein drahtloses Netzwerk unter der Kontrolle des Angreifers).^[241] Alle Versionen von TLS und SSL sind unabhängig vom verwendeten Verschlüsselungsalgorithmus oder Chiffre gefährdet.^[242] Im Gegensatz zu früheren Fällen von Kriminalität, die durch Ausschalten der Komprimierung der TLS -Komprimierung oder der Spdy -Header -Komprimierung erfolgreich verteidigt werden können, wird die HTTP -Komprimierung von Verstößen gegen die HTTP -Komprimierung, die nicht realistisch ausgeschaltet werden kann, ausgeschaltet werden, da praktisch alle Webserver auf die Verbesserung der Datenübertragungsgeschwindigkeiten für Benutzer angewiesen werden.^[241] Dies ist eine bekannte Einschränkung von TLS, da es anfällig ist Ausgewählter Angriff Gegen die Antragsschichtdaten sollte sie schützen.

Timing -Angriffe auf Polsterung

Frühere TLS -Versionen waren gegen die anfällig Padding Oracle Attack entdeckt im Jahr 2002. Eine neuartige Variante, genannt die Glückliche dreizehn Angriffe, wurde 2013 veröffentlicht.

Einige Experten^[66] Empfohlen auch zu vermeiden Triple Des CBC. Seit den zuletzt unterstützten Chiffren entwickelt, um jedes Programm zu unterstützen Windows XPDie SSL/TLS -Bibliothek wie Internet Explorer unter Windows XP sind RC4 und Triple-des und da RC4 jetzt veraltet ist (siehe Diskussion von RC4 -Angriffe) Dies macht es schwierig, jede Version von SSL für jedes Programm mit dieser Bibliothek auf XP zu unterstützen.

Ein Fix wurde als Verschlüsselungs-Then-Mac RFC 7366.^[243] Der glückliche dreizehn Angriff kann in TLS 1.2 gemindert werden, indem nur AES_GCM -Chiffren verwendet werden. AES_CBC bleibt anfällig.

Pudelangriff

Am 14. Oktober 2014 veröffentlichten Google -Forscher eine Sicherheitsanfälligkeit bei der Gestaltung von SSL 3.0, was macht CBC -Betriebsart mit SSL 3.0 anfällig für a Polsterangriff (CVE-2014-3566). Sie nannten diesen Angriff PUDEL (Padding Oracle bei heruntergestufter Legacy -Verschlüsselung). Im Durchschnitt müssen Angreifer nur 256 SSL 3.0 Anfragen stellen, um ein Byte verschlüsselter Nachrichten zu enthüllen.^[73]

Obwohl diese Sicherheitsanfälligkeit nur in SSL 3.0 und den meisten Clients und Servern vorhanden ist, unterstützen alle wichtigen Browser freiwillig auf SSL 3.0, wenn die Handshakes mit neueren Versionen von TLS die Option für einen Benutzer oder Administrator für die Deaktivierung von SSL 3.0 für die Deaktivierung von SSL 3.0 nicht zur Verfügung stellen. und der Benutzer oder Administrator tut dies. Daher kann der Mann-in-the-Middle-Manag zuerst a durchführen Version Rollback -Angriff und dann diese Verwundbarkeit ausnutzen.^[73]

Am 8. Dezember 2014 wurde eine Variante von Pudel angekündigt, die sich auf TLS -Implementierungen auswirkt, die die Anforderungen an das Polsterbyte nicht ordnungsgemäß erzwingen.^[244]

RC4 -Angriffe

Trotz der Existenz von Angriffen auf RC4 Das brach seine Sicherheit, Cipher -Suiten in SSL und TLS, die auf RC4 basierten, wurden vor 2013 nach wie vor als sicher angesehen, basierend auf der Art und Weise, wie sie in SSL und TLS verwendet wurden. Im Jahr 2011 wurde die RC4 -Suite tatsächlich als Arbeit für die empfohlen TIER Attacke.^[245] Neue Angriffsformen, die im März 2013 bekannt gegeben wurden, zeigte schlüssig, dass die Machbarkeit des Brechens von RC4 in TLS, was darauf hindeutet, dass es für Biest keine gute Problemumgehung war.^[72] Ein Angriffsszenario wurde von Alfardan, Bernstein, Paterson, Poettering und Schuldt vorgeschlagen, die neu entdeckte statistische Verzerrungen in der RC4 -Schlüssel Tabelle verwendeten^[246] Teile des Klartextes mit einer großen Anzahl von TLS -Verschlüssen wiederherstellen.^[247][248] Ein Angriff auf RC4 in TLS und SSL, der 13 × 2 benötigt²⁰ Verschlüsse zum Brechen von RC4 wurde am 8. Juli 2013 vorgestellt und später in der dazugehörigen Präsentation bei a als "machbar" beschrieben Usenix Sicherheitssymposium im August 2013.^[249][250] Im Juli 2015 werden nachfolgende Verbesserungen des Angriffs zunehmend praktischer, um die Sicherheit von RC4-verschlüsseltem TLS zu besiegen.^[251]

Da viele moderne Browser die Beast -Angriffe besiegen (außer Safari für Mac OS X 10.7 oder früher, für iOS 6 oder früher und für Windows; siehe § Internetbrowser), RC4 ist keine gute Wahl für TLS 1.0. Die CBC -Chiffren, die in der Vergangenheit vom Tierangriff betroffen waren, sind zu einer beliebteren Wahl für den Schutz geworden.^[66] Mozilla und Microsoft empfehlen, RC4 nach Möglichkeit zu deaktivieren.^[252][253] RFC 7465 verbietet die Verwendung von RC4 -Cipher -Suiten in allen Versionen von TLS.

Am 1. September 2015 gaben Microsoft, Google und Mozilla bekannt, dass RC4 Cipher Suites in ihrem Browser standardmäßig deaktiviert werden würden (in ihrem Browser (Microsoft Edge, Internet Explorer 11 unter Windows 7/8.1/10,, Feuerfuchs, und Chrom) Anfang 2016.^{[254][255][256]}

Kürzungsangriff

Ein TLS -Angriffsangriff (Logout) blockiert die Kontoanfragen eines Opfers, sodass der Benutzer unwissentlich in einem Webdienst angemeldet bleibt. Wenn die Anfrage zur Anmeldung gesendet wird, injiziert der Angreifer einen unverschlüsselten TCP FIN -Nachricht (keine Daten mehr vom Absender), um die Verbindung zu schließen. Der Server erhält daher die Abmeldeanforderung nicht und ist sich der abnormalen Beendigung nicht bewusst.^[257]

Veröffentlicht im Juli 2013,^[258][259] Der Angriff verursacht Webdienste wie z. Google Mail und heisse Mail Um eine Seite anzuzeigen, die den Benutzer darüber informiert, dass er erfolgreich unterschrieben hat, und gleichzeitig sicherstellen . Der Angriff beruht nicht auf die Installation von Malware auf dem Computer des Opfers. Angreifer benötigen sich nur zwischen dem Opfer und dem Webserver (z. B. durch Einrichten eines drahtlosen Hotspots für Schurken).^[257] Diese Sicherheitsanfälligkeit erfordert auch Zugriff auf den Computer des Opfers. Eine andere Möglichkeit besteht darin, dass die Datenverbindung im Datenstrom eine falsche Flosse haben kann. Wenn die Protokollregulierung für den Austausch von Close_notify -Warnungen nicht in eine Datei eingehalten wird, kann dies abgeschnitten werden.

Unheiliger PAC -Angriff

Dieser Mitte 2016 entdeckte Angriff nutzt Schwächen in der Web -Proxy -Autodiscovery -Protokoll (WPAD) Um die URL aufzudecken, die ein Webbenutzer über einen TLS-fähigen Web-Link erreichen versucht.^[260] Die Offenlegung einer URL kann die Privatsphäre eines Benutzers nicht nur wegen der aufgerufenen Website verletzen, sondern auch, weil URLs manchmal zur Authentifizierung von Benutzern verwendet werden. Dokumentefreigabendienste, wie sie bei Google und Dropbox angeboten werden, funktionieren auch, indem Sie einem Benutzer ein Sicherheitstoken senden, das in der URL enthalten ist. Ein Angreifer, der solche URLs erhält, kann möglicherweise den vollen Zugriff auf das Konto oder die Daten eines Opfers erhalten.

Der Exploit arbeitet gegen fast alle Browser und Betriebssysteme.

Sweet32 Angriff

Der Sweet32-Angriff bricht alle 64-Bit-Block-Chiffren, die im CBC-Modus verwendet werden, wie in TLS verwendet, indem a genutzt werden Geburtstagsangriff und entweder a Mann-in-the-Middle-Angriff oder Injektion eines böswilligen JavaScript in eine Webseite. Der Zweck des Angriffs des Mannes oder der JavaScript-Injektion besteht darin, den Angreifer zu ermöglichen, genügend Verkehr zu erfassen, um einen Geburtstagsangriff zu montieren.^[261]

Implementierungsfehler: Heartbleed Bug, Berserk -Angriff, Cloudflare -Fehler

Das Heartbleed Bug ist eine schwerwiegende Sicherheitsanfälligkeit, die für die Implementierung von SSL/TLS im Volksbetrag spezifisch ist OpenSSL Kryptografische Softwarebibliothek, die die Versionen 1.0.1 bis 1.0.1f betrifft. Diese im April 2014 berichtete Schwäche ermöglicht es den Angreifern, zu stehlen Privatschlüssel von Servern, die normalerweise geschützt werden sollten.^[262] Der Heartbleed -Fehler ermöglicht es jedem im Internet, den Speicher der Systeme zu lesen, die durch die gefährdeten Versionen der OpenSSL -Software geschützt sind. Dies gefährdet die geheimen privaten Schlüssel, die mit dem verbunden sind öffentliche Zertifikate Wird verwendet, um die Dienstanbieter zu identifizieren und den Verkehr, die Namen und Passwörter der Benutzer und den tatsächlichen Inhalt zu verschlüsseln. Dies ermöglicht es den Angreifern, die Kommunikation zu belauschen, Daten direkt aus den Diensten und Benutzern zu stehlen und Dienste und Benutzer zu verkörpern.^[263] Die Verwundbarkeit wird durch a verursacht Puffer überlesen Fehler in der OpenSSL -Software und nicht in der SSL- oder TLS -Protokollspezifikation.

Im September 2014 eine Variante von Daniel Bleichenbacher's PKCS#1 V1.5 RSA Signaturen Fälschung Anfälligkeit^[264] wurde durch Intel Security Advanced Threat Research angekündigt. Dieser Angriff, der als Berserk bezeichnet wird, ist ein Ergebnis einer unvollständigen ASN.1-Länge der öffentlichen Schlüsselsignaturen in einigen SSL-Implementierungen und ermöglicht einen Mann-in-the-Middle-Angriff, indem sie eine öffentliche Schlüsselsignatur fällen.^[265]

Im Februar 2015, nachdem Medien die versteckte Vorinstallation von gemeldet hatten Superfisch Anzeige auf einigen Lenovo -Notizbüchern,^[266] Ein Forscher fand, dass ein vertrauenswürdiges Wurzelzertifikat über betroffene Lenovo -Maschinen unsicher ist, da die Schlüssel mit dem Firmennamen Komodia als Passphrase leicht zugänglich sein können.^[267] Die Komodia-Bibliothek wurde entwickelt, um den Client-Seite TLS/SSL-Verkehr für die Kontrolle und Überwachung der Eltern abzufangen. Sie wurde jedoch auch in zahlreichen Adware-Programmen, einschließlich Superfisch, verwendet, die häufig ohne Bekanntheit des Computerbenutzers heimlich installiert wurden. Wiederum diese diese potenziell unerwünschte Programme Installierte das beschädigte Root -Zertifikat, sodass Angreifer den Webverkehr vollständig steuern und falsche Websites als authentisch bestätigen können.

Im Mai 2016 wurde berichtet, dass Dutzende von dänischen HTTPS-geschützten Websites zu Visa Inc. waren anfällig für Angriffe, die es Hackern ermöglichten, böswilligen Code und geschmiedete Inhalte in die Browser von Besuchern zu verleihen.^[268] Die Angriffe funktionierten, weil die TLS -Implementierung auf den betroffenen Servern die Zufallszahlen fälschlicherweise wiederverwendet hat (Nonces) die nur einmal verwendet werden sollen, um sicherzustellen, dass jeder TLS -Handschlag ist einzigartig.^[268]

Im Februar 2017 erstellte ein Implementierungsfehler, der durch ein einzelnes neblartiges Zeichen im Code zur Analyse von HTML verwendet wird, einen Pufferüberlauffehler auf Wolkenflare Server. Ähnlich wie in seinen Auswirkungen des Heartbleed -Bugs, der 2014 entdeckt wurde, ist dieser Überlauffehler, der allgemein bekannt ist Wolkenblau, erlaubten nicht autorisierte Dritte, Daten im Speicher von Programmen zu lesen, die auf den Servern ausgeführt werden - data, die ansonsten durch TLS geschützt worden sein sollten.^[269]

Übersicht über Websites, die für Angriffe anfällig sind

Ab Juli 2021^{[aktualisieren]}Die vertrauenswürdige Internetbewegung schätzte das Verhältnis von Websites, die für TLS -Angriffe anfällig sind.^[71]

Übersicht über die TLS -Schwachstellen der beliebtesten Websites

Anschläge	Sicherheit
	Unsicher	Beruht	Sicher	Sonstiges
Neuverhandlungangriff	0,1% Unterstützung unsicherer Neuverhandlung	<0.1% Unterstützung beides	99,2% Unterstützung sicherer Neuverhandlung	0,7% keine Unterstützung
RC4 -Angriffe	0,4% Unterstützen Sie RC4 -Suiten, die mit modernen Browsern verwendet werden	6,5% Unterstützen Sie einige RC4 -Suiten	93,1% keine Unterstützung	-
TLS -Komprimierung (Kriminalitätsangriff)	> 0,0% verletzlich	-	-	-
Heartbleed	> 0,0% verletzlich	-	-	-
ChangeCipherspec -Injektionsangriff	0,1% verletzlich und ausnutzbar	0,2% verletzlich, nicht ausfindig	98,5% nicht verletzlich	1,2% Unbekannt
Pudelangriff gegen TLS (Originalpudel gegen SSL 3.0 ist nicht enthalten)	0,1% verletzlich und ausnutzbar	0,1% verletzlich, nicht ausfindig	99,8% nicht verletzlich	0,2% Unbekannt
Protokollabgrade	6,6% Downgrade -Verteidigung nicht unterstützt	-	72,3% Downgrade -Verteidigung unterstützt	21,0% Unbekannt

Vorwärtsgeheimnis

Forward Secrecy ist eine Eigenschaft kryptografischer Systeme, die sicherstellt, dass ein von einer Reihe von öffentlichen und privaten Schlüssel abgeleiteten Sitzungsschlüssel nicht beeinträchtigt wird, wenn einer der privaten Schlüssel in Zukunft beeinträchtigt wird.^[270] Wenn der private Schlüssel des Servers ohne Vorwärtshöre gefährdet ist, werden nicht nur alle zukünftigen TLS-verkningten Sitzungen mit diesem Serverzertifikat beeinträchtigt, sondern auch alle vergangenen Sitzungen, die es verwendeten (vorausgesetzt, diese früheren Sitzungen wurden abgefangen und gespeichert zum Zeitpunkt der Übertragung).^[271] Eine Implementierung von TLS kann eine Vorwärtsbeschaffung liefern, indem er den Einsatz von kurzfristig verlangt Diffie -Hellman Key Exchange Um Sitzungsschlüssel zu ermitteln, und einige bemerkenswerte TLS -Implementierungen tun dies ausschließlich: z. B.,,,, Google Mail und andere Google HTTPS -Dienste, die verwendet werden OpenSSL.^[272] Viele Clients und Server, die TLS (einschließlich Browser und Webserver) unterstützen, sind jedoch nicht so konfiguriert, dass sie solche Einschränkungen implementieren.^[273][274] In der Praxis kann der gesamte verschlüsselte Webverkehr zu und von diesem Dienst von einem Dritten entschlüsselt werden, wenn ein Webdienst nicht den Diffie -Hellman -Schlüsselaustausch verwendet, um die Vorwärtshöre zu implementieren, wenn er den Master (privat) des Servers erhält. z. B. durch eine gerichtliche Anordnung.^[275]

Selbst wenn der Diffie-Hellman-Schlüsselaustausch implementiert wird, können die mechanismen des serverseitigen Sitzungsverwaltungsmanagements die Vorwärtshöre beeinflussen. Die Verwendung von TLS -Sitzungstickets (Eine TLS-Erweiterung) führt dazu, dass die Sitzung durch AES128-CBC-Sha256 geschützt wird, unabhängig von anderen ausgehandelten TLS-Parametern, einschließlich Vorwärtshöre Chiffrenuiten, und die langlebigen TLS-Sitzungsschlüssel besiegen den Versuch, Forward-Geheimnis zu implementieren.^{[276][277][278]} Die Stanford University Research im Jahr 2014 ergab außerdem, dass von 473.802 TLS -Servern 82,9% der Server, die kurzlebige Diffie -Hellman (DHE) -Key -Austausch für die Unterstützung von Vorwärtshöre einsetzten, schwache Diffie -Hellman -Parameter einsetzten. Diese schwachen Parameterauswahl könnten möglicherweise die Wirksamkeit der Vorwärtsheimhaltungsbeschwerden, die die Server bereitstellen, beeinträchtigen.^[279]

Seit Ende 2011 hat Google den Nutzern der ITS standardmäßig die Vorwärtshöre mit TLS zur Verfügung gestellt Google Mail Service zusammen mit Google Dokumente und verschlüsselte Suche unter anderem.^[280] Seit November 2013, Twitter hat TLS den Benutzern seines Dienstes vorwärtsgeschrieben.^[281] Ab August 2019^{[aktualisieren]}Etwa 80% der TLS-fähigen Websites sind so konfiguriert, dass sie Cipher-Suiten verwenden, die den meisten Webbrowsern eine Vorwärtshöre bereitstellen.^[71]

TLS -Abfangen

TLS -Abfangen (oder Https Abfangen, wenn besonders auf dieses Protokoll angewendet wird) ist die Praxis, einen verschlüsselten Datenstrom abzufangen, um ihn zu entschlüsseln, zu lesen und möglicherweise zu manipulieren und dann neu zu entschlüsseln und die Daten erneut auf den Weg zu senden. Dies geschieht durch eine "transparenter Proxy": Die Interception -Software beendet die eingehende TLS -Verbindung, prüft den HTTP -Klartext und erstellt dann eine neue TLS -Verbindung zum Ziel.^[282]

TLS/HTTPS -Abfangen werden als verwendet Informationssicherheit Messen Sie nach Netzwerkbetreibern, um nach dem Eindringen von böswilligen Inhalten in das Netzwerk zu scannen und sie zu schützen, wie z. Computer Virus und andere Malware.^[282] Ein solcher Inhalt könnte ansonsten nicht erkannt werden, solange er durch Verschlüsselung geschützt ist, was aufgrund der routinemäßigen Verwendung von HTTPS und anderen sicheren Protokollen zunehmend der Fall ist.

Ein wesentlicher Nachteil von TLS/HTTPS -Abfangen besteht darin, dass es eigene neue Sicherheitsrisiken einführt. Eine bemerkenswerte Einschränkung besteht darin, dass es einen Punkt bietet, an dem der Netzwerkverkehr unverschlüsselt verfügbar ist. Daher gibt es Angreifern einen Anreiz, diesen Punkt insbesondere anzugreifen, um Zugriff auf ansonsten sicheren Inhalten zu erhalten. Mit dem Abfangen ermöglicht dem Netzwerkbetreiber oder Personen, die Zugriff auf sein Interception -System erhalten, durchzuführen MAN-in-the-Middle-Angriffe gegen Netzwerkbenutzer. Eine Studie aus dem Jahr 2017 ergab, dass "HTTPS -Interception erstaunlich weit verbreitet ist und dass Abfangen -Produkte als Klasse dramatisch negative Auswirkungen auf die Verbindungssicherheit haben".^[282]

Protokolldetails

Der TLS -Protokollaustausch Aufzeichnungen, die die Daten zusammenfassen, die in einem bestimmten Format ausgetauscht werden sollen (siehe unten). Jeder Datensatz kann komprimiert, gepolstert, mit a angehängt werden Nachrichtenauthentifizierungscode (MAC) oder verschlüsselt, abhängig vom Zustand der Verbindung. Jeder Datensatz hat a Inhaltstyp Feld, das die Art der eingekapselten Daten, ein Längefeld und ein TLS -Versionsfeld bezeichnet. Die eingekapselten Daten können Kontroll- oder Verfahrensnachrichten des TLS selbst oder einfach die von TLS übertragenen Anwendungsdaten sein. Die für den Austausch von Anwendungsdaten durch TLS erforderlichen Spezifikationen (Cipher Suite, Tasten usw.) werden im "TLS -Handshake" zwischen dem Client vereinbart, der die Daten anfordert, und dem Server, der auf Anforderungen antwortet. Das Protokoll definiert daher sowohl die Struktur der in TLS übertragenen Nutzlasten als auch das Verfahren zur Festlegung und Überwachung der Übertragung.

TLS -Handschlag

Wenn die Verbindung startet, fasst der Datensatz ein "Steuer" -Protokoll zusammen - das Handshake -Messaging -Protokoll (Inhaltstyp 22). Dieses Protokoll wird verwendet, um alle Informationen aus dem Austausch der tatsächlichen Anwendungsdaten durch TLS auszutauschen. Es definiert das Format von Nachrichten und die Reihenfolge ihres Austauschs. Diese können je nach Anforderungen des Clients und Servers variieren - d. H. Es gibt mehrere mögliche Verfahren, um die Verbindung herzustellen. Dieser erste Austausch führt zu einer erfolgreichen TLS -Verbindung (beide Parteien, die bereit sind, Anwendungsdaten mit TLS zu übertragen) oder eine Warnmeldung (wie unten angegeben).

Grundlegende TLS -Handshake

Es folgt ein typisches Verbindungsbeispiel, das a veranschaulicht Handschlag wobei der Server (aber nicht der Client) durch sein Zertifikat authentifiziert wird:

1. Verhandlungsphase:
   • Ein Kunde sendet a ClientHello Nachricht, die die von ihnen unterstützte TLS -Protokollversion angeben, eine Zufallszahl, eine Liste der vorgeschlagenen Chiffre -Suiten und vorgeschlagene Komprimierungsmethoden. Wenn der Mandant versucht, einen wieder aufgenommenen Handschlag auszuführen, kann er eine senden Session-ID. Wenn der Kunde verwenden kann AnwendungsschichtprotokollverhandlungEs kann eine Liste der unterstützten Anwendungen enthalten Protokolle, wie zum Beispiel Http/2.
   • Der Server antwortet mit a Serverhello Meldung, die die ausgewählte Protokollversion enthält, eine Zufallszahl, eine Cipher -Suite und eine Komprimierungsmethode aus den vom Client angebotenen Auswahlmöglichkeiten. Um wieder aufgenommene Handshakes zu bestätigen oder zuzulassen, kann der Server a senden Session-ID. Die ausgewählte Protokollversion sollte die höchste sein, die sowohl der Client als auch der Server unterstützt. Wenn der Client beispielsweise die TLS -Version 1.1 unterstützt und der Server Version 1.2 unterstützt, sollte Version 1.1 ausgewählt werden. Version 1.2 sollte nicht ausgewählt werden.
   • Der Server sendet seine Zertifikat Meldung (abhängig von der ausgewählten Cipher Suite kann dies vom Server weggelassen werden).^[283]
   • Der Server sendet seine ServerkeyExchange Meldung (abhängig von der ausgewählten Cipher Suite kann dies vom Server weggelassen werden). Diese Nachricht wird für alle gesendet Dhe, Ecdhe und dh_anon cipher Suites.^[7]
   • Der Server sendet a Serverhellodon Nachricht, die angibt, dass sie bei Handshake -Verhandlungen erfolgt.
   • Der Kunde antwortet mit a ClientKeyExchange Nachricht, die a enthalten kann PEMASTERSECRET, öffentlicher Schlüssel oder nichts. (Auch dies hängt von der ausgewählten Chiffre ab.) Dies PEMASTERSECRET wird mit dem öffentlichen Schlüssel des Serverzertifikats verschlüsselt.
   • Der Client und Server verwenden dann die Zufallszahlen und PEMASTERSECRET ein gemeinsames Geheimnis zu berechnen, das "Master Secret" bezeichnet wird. Alle anderen Schlüsseldaten (Sitzungsschlüssel wie zum Beispiel Iv, Symmetrische Verschlüsselung Schlüssel, MAC Schlüssel^[284]) Für diese Verbindung stammt aus diesem Master-Geheimnis (und den serverbereiteten zufälligen Werten), die durch eine sorgfältig gestaltete geleitet werden Pseudorandom Funktion.
2. Der Kunde sendet jetzt eine ChangeCipherspec Aufzeichnung, im Wesentlichen dem Server mitzuteilen: "Alles, was ich Ihnen von nun an sage, wird authentifiziert (und verschlüsselt, wenn Verschlüsselungsparameter im Serverzertifikat vorhanden waren).
   • Der Client sendet eine authentifizierte und verschlüsselte Fertig Nachricht, die einen Hash und Mac über die vorherigen Handshake -Nachrichten enthält.
   • Der Server wird versuchen, den Client zu entschlüsseln Fertig Nachricht und überprüfen Sie den Hash und den Mac. Wenn die Entschlüsselung oder Überprüfung fehlschlägt, wird angenommen, dass der Handschlag fehlgeschlagen ist und die Verbindung abgerissen werden sollte.
3. Schließlich sendet der Server a ChangeCipherspec, sagte dem Kunden: "Alles, was ich Ihnen von nun an sage, wird authentifiziert (und verschlüsselt, wenn die Verschlüsselung ausgehandelt wurde)."
   • Der Server sendet seine authentifizierten und verschlüsselten Verschlüsselung Fertig Botschaft.
   • Der Client führt dieselbe Entschlüsselungs- und Überprüfungsverfahren aus wie der Server im vorherigen Schritt.
4. Anwendungsphase: Zu diesem Zeitpunkt ist der "Handshake" abgeschlossen und das Anwendungsprotokoll ist aktiviert, wobei der Inhaltstyp von 23. Anwendungsnachrichten zwischen Client und Server ausgetauscht werden Fertig Botschaft. Andernfalls gibt der Inhaltstyp 25 zurück und der Client authentifiziert sich nicht.

Client-authentifizierte TLS-Handshake

Folgende voll Beispiel zeigt, dass ein Client authentifiziert wird (zusätzlich zum Server wie im obigen Beispiel; siehe; gegenseitige Authentifizierung) über TLS unter Verwendung von Zertifikaten, die zwischen beiden Gleichaltrigen ausgetauscht werden.

1. Verhandlungsphase:
   • Ein Kunde sendet a ClientHello Meldung, die die höchste TLS -Protokollversion angeben, die sie unterstützt, eine Zufallszahl, eine Liste der vorgeschlagenen Verschlüsselungssuiten und Komprimierungsmethoden.
   • Der Server antwortet mit a Serverhello Meldung, die die ausgewählte Protokollversion enthält, eine Zufallszahl, eine Cipher -Suite und eine Komprimierungsmethode aus den vom Client angebotenen Auswahlmöglichkeiten. Der Server kann auch a senden Session-ID als Teil der Nachricht, um einen wieder aufgenommenen Handschlag auszuführen.
   • Der Server sendet seine Zertifikat Meldung (abhängig von der ausgewählten Cipher Suite kann dies vom Server weggelassen werden).^[283]
   • Der Server sendet seine ServerkeyExchange Meldung (abhängig von der ausgewählten Cipher Suite kann dies vom Server weggelassen werden). Diese Nachricht wird für alle Ciphersuites von DHE, ECDHE und DH_ANON gesendet.^[7]
   • Der Server sendet a Zertifizierter Zertifikat Nachricht, um ein Zertifikat vom Client anzufordern.
   • Der Server sendet a Serverhellodon Nachricht, die angibt, dass sie bei Handshake -Verhandlungen erfolgt.
   • Der Kunde antwortet mit a Zertifikat Meldung, die das Zertifikat des Kunden enthält, jedoch nicht des privaten Schlüssels.
   • Der Kunde sendet a ClientKeyExchange Nachricht, die a enthalten kann PEMASTERSECRET, öffentlicher Schlüssel oder nichts. (Auch dies hängt von der ausgewählten Chiffre ab.) Dies PEMASTERSECRET wird mit dem öffentlichen Schlüssel des Serverzertifikats verschlüsselt.
   • Der Kunde sendet a Zertifikat bei Nachricht, eine Signatur über die vorherigen Handshake -Nachrichten mit dem privaten Schlüssel des Client -Zertifikats. Diese Signatur kann durch den öffentlichen Schlüssel des Kunden des Kunden überprüft werden. Auf diese Weise informiert der Server, dass der Client Zugriff auf den privaten Schlüssel des Zertifikats hat und somit das Zertifikat besitzt.
   • Der Client und Server verwenden dann die Zufallszahlen und PEMASTERSECRET ein gemeinsames Geheimnis zu berechnen, das "Master Secret" bezeichnet wird. Alle anderen Schlüsseldaten ("Sitzungsschlüssel") für diese Verbindung stammen aus diesem Master-Geheimnis (und den client- und servergebundenen zufälligen Werten), die eine sorgfältig gestaltete Pseudorandom-Funktion übergeben werden.
2. Der Kunde sendet jetzt eine ChangeCipherspec Aufzeichnung, im Wesentlichen dem Server mitzuteilen: "Alles, was ich Ihnen von nun an erzählte, wird authentifiziert (und verschlüsselt, wenn die Verschlüsselung ausgehandelt wurde).
   • Schließlich sendet der Kunde eine verschlüsselte Fertig Nachricht, die einen Hash und Mac über die vorherigen Handshake -Nachrichten enthält.
   • Der Server wird versuchen, den Client zu entschlüsseln Fertig Nachricht und überprüfen Sie den Hash und den Mac. Wenn die Entschlüsselung oder Überprüfung fehlschlägt, wird angenommen, dass der Handschlag fehlgeschlagen ist und die Verbindung abgerissen werden sollte.
3. Schließlich sendet der Server a ChangeCipherspecMit dem Kunden: "Alles, was ich Ihnen von nun an sage, wird authentifiziert (und verschlüsselt, wenn die Verschlüsselung ausgehandelt wurde)."
   • Der Server sendet seine eigenen verschlüsselten Fertig Botschaft.
   • Der Client führt dieselbe Entschlüsselungs- und Überprüfungsverfahren aus wie der Server im vorherigen Schritt.
4. Anwendungsphase: Zu diesem Zeitpunkt ist der "Handshake" vollständig und das Anwendungsprotokoll ist aktiv Fertig Botschaft.

Wieder aufgenommen TLS Handshake

Öffentliche Schlüsselvorgänge (z. B. RSA) sind hinsichtlich der Rechenleistung relativ teuer. TLS bietet eine sichere Abkürzung im Handshake -Mechanismus, um diese Operationen zu vermeiden: wieder aufgenommene Sitzungen. Wiederaufnahmesitzungen werden mit Sitzung -IDs oder Sitzungstickets implementiert.

Neben dem Leistungsnutzen können auch wieder aufgenommene Sitzungen verwendet werden Einmalige Anmeldung, da es garantiert, dass sowohl die ursprüngliche Sitzung als auch jede wieder aufgenommene Sitzung vom selben Kunden stammen. Dies ist von besonderer Bedeutung für die FTP über TLS/SSL Protokoll, das sonst unter einem Mann-in-the-Middle-Angriff leiden würde, bei dem ein Angreifer den Inhalt der Sekundärdatenverbindungen abfangen könnte.^[285]

TLS 1.3 Handshake

Der TLS 1.3 -Handshake wurde auf nur eine Hin- und Rückfahrt im Vergleich zu den beiden Rundreisen, die in früheren Versionen von TLS/SSL erforderlich sind, verdichtet.

Zunächst sendet der Client eine Clienthello -Nachricht an den Server, der eine Liste unterstützter Chiffren in der Reihenfolge der Präferenz des Clients enthält, und erraten Sie, welchen wichtigen Algorithmus verwendet werden, damit er bei Bedarf einen geheimen Schlüssel zum Freigeben senden kann. Indem der Server eine Rundreise beseitigt, beseitigt der Server eine Rätselweite, welcher wichtige Algorithmus verwendet wird. Nach dem Empfangen des Clienthello sendet der Server einen Serverhello mit seinem Schlüssel, einem Zertifikat, der ausgewählten Cipher -Suite und der fertigen Nachricht.

Nachdem der Client die fertige Nachricht des Servers erhalten hat, wird er jetzt mit dem Server koordiniert, auf dem die Cipher Suite verwendet werden soll.^[286]

Sitzungs -IDs

In einem gewöhnlichen voll Handshake sendet der Server a Session-ID Im Rahmen des Serverhello Botschaft. Der Kunde verknüpft dies Session-ID Mit der IP -Adresse und dem TCP -Port des Servers des Servers, sodass der Client erneut eine Verbindung zu diesem Server herstellt, kann er das verwenden Session-ID Um den Handschlag zu verkürzen. Auf dem Server die Session-ID Karten zu den zuvor ausgehandelten kryptografischen Parametern, insbesondere dem "Master Secret". Beide Seiten müssen das gleiche "Master Secret" haben oder der wiederaufgenommene Handshake fällt aus (dies verhindert, Session-ID). Die zufälligen Daten in der ClientHello und Serverhello Nachrichten garantieren praktisch, dass sich die generierten Verbindungsschlüssel von der vorherigen Verbindung unterscheiden. In den RFCs wird diese Art von Handshake als eine genannt abgekürzt Handschlag. Es wird auch in der Literatur als beschrieben neu starten Handschlag.

1. Verhandlungsphase:
   • Ein Kunde sendet a ClientHello Meldung, die die höchste TLS -Protokollversion angeben, die sie unterstützt, eine Zufallszahl, eine Liste der vorgeschlagenen Verschlüsselungssuiten und Komprimierungsmethoden. In der Nachricht enthalten ist die Session-ID Aus der vorherigen TLS -Verbindung.
   • Der Server antwortet mit a Serverhello Meldung, die die ausgewählte Protokollversion enthält, eine Zufallszahl, eine Cipher -Suite und eine Komprimierungsmethode aus den vom Client angebotenen Auswahlmöglichkeiten. Wenn der Server die erkennt Session-ID vom Kunden gesendet, reagiert es mit demselben Session-ID. Der Client nutzt dies, um zu erkennen, dass ein wiederbelasteter Handschlag durchgeführt wird. Wenn der Server das nicht erkennt Session-ID vom Client gesendet, sendet er einen anderen Wert für seine Session-ID. Dies teilt dem Kunden mit, dass ein wiederhergestelltes Handschlag nicht durchgeführt wird. Zu diesem Zeitpunkt verfügen sowohl der Client als auch der Server über die "Master Secret" und zufällige Daten, um die wichtigsten Daten zu generieren, die für diese Verbindung verwendet werden sollen.
2. Der Server sendet nun a ChangeCipherspec Aufzeichnung, im Wesentlichen dem Kunden: "Alles, was ich Ihnen von nun an erzählte, wird verschlüsselt." Der ChangeCipherspec ist selbst ein Protokoll auf Datensatzebene und hat Typ 20 und nicht 22.
   • Schließlich sendet der Server eine verschlüsselte Fertig Nachricht, die einen Hash und Mac über die vorherigen Handshake -Nachrichten enthält.
   • Der Client wird versuchen, den Server zu entschlüsseln Fertig Nachricht und überprüfen Sie den Hash und den Mac. Wenn die Entschlüsselung oder Überprüfung fehlschlägt, wird angenommen, dass der Handschlag fehlgeschlagen ist und die Verbindung abgerissen werden sollte.
3. Schließlich sendet der Kunde a ChangeCipherspecMit dem Server sagen: "Alles, was ich Ihnen von nun an sage, wird verschlüsselt."
   • Der Kunde sendet seine eigenen verschlüsselten Fertig Botschaft.
   • Der Server führt dieselbe Entschlüsselungs- und Überprüfungsverfahren aus wie der Client im vorherigen Schritt.
4. Anwendungsphase: Zu diesem Zeitpunkt ist der "Handshake" vollständig und das Anwendungsprotokoll ist aktiv Fertig Botschaft.

Sitzungstickets

RFC 5077 Erweitert TLS über die Verwendung von Sitzungstickets anstelle von Sitzungs -IDs. Es definiert eine Möglichkeit, eine TLS-Sitzung wieder aufzunehmen, ohne dass der Sitzungsstatus auf dem TLS-Server gespeichert wird.

Bei Verwendung von Sitzungstickets speichert der TLS-Server seinen Sitzungsstatus in einem Sitzungsticket und sendet das Sitzungsticket zum Speichern an den TLS-Client. Der Client nimmt eine TLS-Sitzung wieder auf, indem er das Sitzungsticket an den Server sendet, und der Server setzt die TLS-Sitzung gemäß dem Sitzungsstatus im Ticket fort. Das Sitzungsticket wird vom Server verschlüsselt und authentifiziert, und der Server überprüft seine Gültigkeit, bevor der Inhalt verwendet wird.

Eine besondere Schwäche dieser Methode mit OpenSSL ist, dass es die Verschlüsselungs- und Authentifizierungssicherheit des übertragenen TLS -Sitzungstickets auf immer einschränkt AES128-CBC-SHA256Unabhängig davon, welche anderen TLS -Parameter für die tatsächliche TLS -Sitzung ausgehandelt wurden.^[277] Dies bedeutet, dass die staatlichen Informationen (das TCS -Sitzungs -Ticket TLS) nicht so gut geschützt sind wie die TLS -Sitzung selbst. Besonders besorgniserregend ist OpenSSLs Speicherung der Schlüssel in einem anwendungsweiten Kontext (SSL_CTX), d. H. Für die Lebensdauer der Anwendung und nicht zulässt, die Wiederholung des AES128-CBC-SHA256 TLS-Sitzungstickets ohne den anwendungsweiten OpenSSL-Kontext (der selten, fehleranfällig ist und häufig manuelle administrative Intervention erfordert).^[278][276]

TLS -Aufzeichnung

Dies ist das allgemeine Format aller TLS -Datensätze.

TLS -Datensatzformat, allgemein

Offset	Byte+0	Byte+1	Byte+2	Byte+3
Byte 0	Inhaltstyp	-
Bytes 1–4	Legacy -Version		Länge
	(Haupt)	(Unerheblich)	(Bits 15–8)	(Bits 7–0)
Bytes 5– (m–1)	Protokollnachricht (en)
Bytes m- (p–1)	MAC (Optional)
Bytes p- (q–1)	Polsterung (nur Blockveränderungen)

Inhaltstyp

Dieses Feld identifiziert den in diesem Datensatz enthaltenen Protokolltyp der Datensatzschicht.

Inhaltstypen

Verhexen	Dez	Typ
0 × 14	20	ChangeCipherspec
0 × 15	21	Alarm
0 × 16	22	Handschlag
0 × 17	23	Anwendung
0 × 18	24	Herzschlag

Legacy -Version

Dieses Feld identifiziert die Haupt- und Nebenversion von TLS vor TLS 1.3 für die enthaltene Nachricht. Für eine Clienthello -Nachricht muss dies nicht die sein höchste Version unterstützt vom Kunden. Für TLS 1.3 und später muss dies 0x0303 festgelegt werden, und die Anwendung muss unterstützte Versionen in einem zusätzlichen Nachrichtenerweiterungsblock senden.

Versionen

Haupt Ausführung	Unerheblich Ausführung	Versionstyp
3	0	SSL 3.0
3	1	TLS 1.0
3	2	TLS 1.1
3	3	TLS 1.2
3	4	TLS 1.3

Länge

Die Länge der "Protokollnachricht", "Mac" und "Polster" kombiniert (d. H. q–5), nicht überschreiten 2¹⁴ Bytes (16 Kib).

Protokollnachricht (en)

Eine oder mehrere Nachrichten, die vom Protokollfeld identifiziert wurden. Beachten Sie, dass dieses Feld je nach Zustand der Verbindung verschlüsselt werden kann.

Mac und Polsterung

A Nachrichtenauthentifizierungscode berechnet über das Feld "Protokollnachricht) mit zusätzlichem Schlüsselmaterial. Beachten Sie, dass dieses Feld je nach Zustand der Verbindung verschlüsselt oder nicht vollständig eingeschlossen werden kann.

Am Ende der TLS -Datensätze können keine "Mac" oder "Polster" -Felder vorhanden sein Weitere Aufzeichnungen, die vom selben Peer gesendet wurden.

Handshake -Protokoll

Die meisten Nachrichten, die während der Einrichtung der TLS -Sitzung ausgetauscht werden, basieren auf diesem Datensatz, es sei denn Siehe ChangeCipherSpec -Protokoll unten).

TLS -Datensatzformat für Handshake -Protokoll

Offset	Byte+0	Byte+1	Byte+2	Byte+3
Byte 0	22	-
Bytes 1–4	Legacy -Version		Länge
	(Haupt)	(Unerheblich)	(Bits 15–8)	(Bits 7–0)
Bytes 5–8	Nachrichtentyp	Datenlänge der Handshake -Nachrichten
		(Bits 23–6)	(Bits 15–8)	(Bits 7–0)
Bytes 9– (n–1)	Handshake -Nachrichtendaten
Bytes n- (n+3)	Nachrichtentyp	Datenlänge der Handshake -Nachrichten
		(Bits 23–16)	(Bits 15–8)	(Bits 7–0)
Bytes (n+4) -	Handshake -Nachrichtendaten

Nachrichtentyp

Dieses Feld identifiziert den Handshake -Nachrichtentyp.

Nachrichtentypen

Code	Beschreibung
0	Hellorequest
1	ClientHello
2	Serverhello
4	Nachrichtenticket
8	Verschlüsselungswechsel (nur TLS 1.3)
11	Zertifikat
12	ServerkeyExchange
13	Zertifizierter Zertifikat
14	Serverhellodon
15	Zertifikat bei
16	ClientKeyExchange
20	Fertig

Datenlänge der Handshake -Nachrichten

Dies ist ein 3-Byte-Feld, das die Länge der Handshake-Daten angibt, ohne den Header.

Beachten Sie, dass mehrere Handshake -Nachrichten in einem Datensatz kombiniert werden können.

Warnprotokoll

Dieser Datensatz sollte normalerweise nicht während des normalen Handshaking- oder Anwendungsaustauschs gesendet werden. Diese Nachricht kann jedoch jederzeit während des Handschlags und bis zur Schließung der Sitzung gesendet werden. Wenn dies verwendet wird, um einen tödlichen Fehler zu signalisieren, wird die Sitzung unmittelbar nach dem Versenden dieses Datensatzes geschlossen, sodass dieser Datensatz ein Grund für diesen Schließungsgrund gibt. Wenn die Warnstufe als Warnung gekennzeichnet ist, kann die Fernbedienung entscheiden, die Sitzung zu schließen, wenn sie entscheidet, dass die Sitzung für ihre Anforderungen nicht zuverlässig genug ist (vorher kann die Fernbedienung auch ein eigenes Signal senden).

TLS -Datensatzformat für Alarmprotokoll

Offset	Byte+0	Byte+1	Byte+2	Byte+3
Byte 0	21	-
Bytes 1–4	Legacy -Version		Länge
	(Haupt)	(Unerheblich)	0	2
Bytes 5–6	Eben	Beschreibung	-
Bytes 7- (p–1)	MAC (Optional)
Bytes p- (q–1)	Polsterung (nur Blockveränderungen)

Eben

Dieses Feld identifiziert die Warnung. Wenn der Niveau tödlich ist, sollte der Absender die Sitzung sofort schließen. Andernfalls kann der Empfänger beschließen, die Sitzung selbst zu kündigen, indem er seine eigene tödliche Alarms sendet und die Sitzung selbst nach dem Senden geschlossen hat. Die Verwendung von Warndatensätzen ist optional. Wenn sie jedoch vor dem Sitzungsverschluss fehlt, kann die Sitzung automatisch wieder aufgenommen werden (mit ihren Händedruck).

Der normale Verschluss einer Sitzung nach Beendigung der transportierten Anwendung sollte vorzugsweise mit mindestens dem alarmiert werden Schließen Warntyp (mit einem einfachen Warnstufe), um einen solchen automatischen Lebenslauf einer neuen Sitzung zu verhindern. Signalisierung ausdrücklich den normalen Verschluss einer sicheren Sitzung, bevor die Transportschicht effektiv schließt kann erwarten).

Warnstufentypen

Code	Stufentyp	Verbindungszustand
1	Warnung	Verbindung oder Sicherheit kann instabil sein.
2	tödlich	Verbindung oder Sicherheit kann beeinträchtigt werden, oder es ist ein nicht wiederbeschreibbarer Fehler aufgetreten.

Beschreibung

In diesem Feld wird festgestellt, welche Art von Alarm gesendet wird.

Alarmbeschreibungstypen

Code	Beschreibung	Ebenenstypen	Notiz
0	Schließen	Warnung/tödlich
10	Unerwartete Nachricht	tödlich
20	Schlechter Rekord Mac	tödlich	Möglicherweise wurde eine schlechte SSL -Implementierung oder eine Nutzlast manipuliert, z. FTP -Firewall -Regel auf FTPS -Server.
21	Die Entschlüsselung fehlgeschlagen	tödlich	Nur TLS, reserviert
22	Überlauf aufzeichnen	tödlich	Nur TLS
30	Dekompressionsfehler	tödlich
40	Handschlagfehler	tödlich
41	Kein Zertifikat	Warnung/tödlich	Nur SSL 3.0, reserviert
42	Schlechtes Zertifikat	Warnung/tödlich
43	Nicht unterstütztes Zertifikat	Warnung/tödlich	z.B. Das Zertifikat verfügt nur über eine Serverauthentifizierungsnutzung und wird als Client -Zertifikat präsentiert
44	Zertifikat widerrufen	Warnung/tödlich
45	Zertifikat abgelaufen	Warnung/tödlich	Überprüfen Sie, ob das Serverzertifikat abläuft. Überprüfen Sie auch, ob kein Zertifikat in der dargestellten Kette abgelaufen ist
46	Zertifikat unbekannt	Warnung/tödlich
47	Illegaler Parameter	tödlich
48	Unbekannte CA (Zertifizierungsstelle))	tödlich	Nur TLS
49	Zugriff abgelehnt	tödlich	Nur TLS - z. Es wurde kein Client -Zertifikat vorgelegt (TLS: Blank Zertifikatsnachricht oder SSLV3: Kein Zertifikat -Alarm), der Server ist jedoch so konfiguriert, dass er eines benötigt.
50	Fehler entschlüsseln	tödlich	Nur TLS
51	Fehler entschlüsseln	Warnung/tödlich	Nur TLS
60	Exportbeschränkung	tödlich	Nur TLS, reserviert
70	Protokollversion	tödlich	Nur TLS
71	Unzureichende Sicherheit	tödlich	Nur TLS
80	Interner Fehler	tödlich	Nur TLS
86	Unangemessener Fallback	tödlich	Nur TLS
90	Benutzer storniert	tödlich	Nur TLS
100	Keine Neuverhandlung	Warnung	Nur TLS
110	Nicht unterstützte Erweiterung	Warnung	Nur TLS
111	Zertifikat ungeholfen	Warnung	Nur TLS
112	Unerkannter Name	Warnung/tödlich	Nur TLS; Kunde Servernamenanzeige Spezifische ein Hostname angegeben, der vom Server nicht unterstützt wird
113	Schlechte Antwort der Zertifikatstatus	tödlich	Nur TLS
114	Schlechter Zertifikathashwert	tödlich	Nur TLS
115	Unbekannt PSK Identität (verwendet in TLS-PSK und Tls-srp))	tödlich	Nur TLS
116	Zertifikat erforderlich	tödlich	TLS Version 1.3 nur
120 oder 255	Kein Anwendungsprotokoll	tödlich	TLS Version 1.3 nur

ChangeCipherspec -Protokoll

TLS -Datensatzformat für das ChangeCipherSpec -Protokoll

Offset	Byte+0	Byte+1	Byte+2	Byte+3
Byte 0	20	-
Bytes 1–4	Legacy -Version		Länge
	(Haupt)	(Unerheblich)	0	1
Byte 5	CCS -Protokolltyp	-

CCS -Protokolltyp

Derzeit nur 1.

Anwendungsprotokoll

TLS -Datensatzformat für das Anwendungsprotokoll

Offset	Byte+0	Byte+1	Byte+2	Byte+3
Byte 0	23	-
Bytes 1–4	Legacy -Version		Länge
	(Haupt)	(Unerheblich)	(Bits 15–8)	(Bits 7–0)
Bytes 5– (m–1)	Anwendungsdaten
Bytes m- (p–1)	MAC (Optional)
Bytes p- (q–1)	Polsterung (nur Blockveränderungen)

Länge

Länge der Anwendungsdaten (ohne den Protokollheader und einschließlich der MAC- und Polsteranhänger)

MAC

32 Bytes für die SHA-256-basierend HMAC, 20 Bytes für die SHA-1-Basierend HMAC, 16 Bytes für die MD5-Basierend HMAC.

Polsterung

Variable Länge; Das letzte Byte enthält die Polsterlänge.

Unterstützung für Namensbasis virtueller Server

Aus Sicht des Anwendungsprotokolls gehört TLS zu einer niedrigeren Schicht, obwohl das TCP/IP -Modell zu grob ist, um es anzuzeigen. Dies bedeutet, dass der TLS -Handshake normalerweise (außer in der Starttls Fall) durchgeführt, bevor das Anwendungsprotokoll beginnen kann. In dem Namensbasierter virtueller Server Feature, die von der Anwendungsebene bereitgestellt werden, teilen alle gemeinsamen virtuellen Server das gleiche Zertifikat, da der Server ein Zertifikat unmittelbar nach der Clienthello-Nachricht auswählen und senden muss. Dies ist ein großes Problem in Hosting -Umgebungen, da dies bedeutet, dass das gleiche Zertifikat unter allen Kunden weitergegeben oder für jede von ihnen eine andere IP -Adresse verwendet wird.

Es sind zwei bekannte Problemumgehungen, die von bereitgestellt werden von X.509:

• Wenn alle virtuellen Server zur gleichen Domäne gehören, a Wildcard -Zertifikat kann verwendet werden.^[287] Neben der Auswahl der losen Hostnamen, die ein Problem sein könnte oder nicht, gibt es keine gemeinsame Vereinbarung darüber, wie Sie Wildcard -Zertifikate entsprechen können. Abhängig vom Anwendungsprotokoll oder der verwendeten Software werden unterschiedliche Regeln angewendet.^[288]
• Fügen Sie jeden virtuellen Hostnamen in der Erweiterung der SubjektALTNAME hinzu. Das Hauptproblem ist, dass das Zertifikat neu aufgelegt werden muss, wenn ein neuer virtueller Server hinzugefügt wird.

Um den Servernamen anzugeben, RFC 4366 TLS -Erweiterungen (Transport Layer Security) ermöglichen es Kunden, a einzubeziehen Servername -Anzeige Erweiterung (SNI) in der erweiterten Clienthello -Nachricht. Diese Erweiterung weist sofort auf den Server hin, mit dem der Client eine Verbindung herstellen möchte, damit der Server das entsprechende Zertifikat an die Clients senden kann.

RFC 2817 Dokumentiert auch eine Methode zur Implementierung des namenbasierten virtuellen Hosting, indem HTTP auf TLS über eine aktualisiert wird HTTP/1.1 Upgrade -Header. Normalerweise soll dies HTTP über TLS innerhalb des Haupt -HTTP -Haupt -HTTP -Hauptsachen sicherstellen. URI -Schema (Dies vermeidet es, den URI -Speicherplatz zu erzielen und die Anzahl der gebrauchten Ports zu verringern), aber nur wenige Implementierungen unterstützen dies derzeit.

Standards

Hauptstandards

Die aktuell genehmigte Version von TLS ist Version 1.3, die in:

• RFC 8446: "The Transport Layer Security (TLS) Protokoll Version 1.3".

Der aktuelle Standard ersetzt diese früheren Versionen, die jetzt als veraltet angesehen werden:

• RFC 2246: "Das TLS -Protokollversion 1.0".
• RFC 4346: "The Transport Layer Security (TLS) Protokoll Version 1.1".
• RFC 5246: "The Transport Layer Security (TLS) Protokoll Version 1.2".

Sowie die nie standardisierte SSL 2.0 und 3.0, die als veraltet angesehen werden:

• Internet Draft (1995), SSL Version 2.0
• RFC 6101: "Die Secure Sockets Layer (SSL) Protokoll Version 3.0".

Erweiterungen

Sonstiges RFCs anschließend erweiterte TLS.

Zu den Erweiterungen zu TLS 1.0 gehören:

• RFC 2595: "Verwenden von TLS mit IMAP, POP3 und ACAP". Gibt eine Erweiterung der IMAP-, POP3- und ACAP-Dienste an, mit denen der Server und der Client die Transport-Layer-Sicherheit verwenden können, um eine private, authentifizierte Kommunikation über das Internet bereitzustellen.
• RFC 2712: "Zugabe von Kerberos Cipher Suites to Transport Layer Security (TLS). "
• RFC 2817: "Upgrade auf TLS innerhalb von HTTP/1.1" erklärt, wie man die Verwendung der Verwendung Upgrade -Mechanismus in HTTP/1.1 Initiierung der Transportschichtsicherheit (TLS) über eine vorhandene TCP -Verbindung. Dies ermöglicht dem ungesicherten und gesicherten HTTP -Verkehr, dasselbe zu teilen sehr bekannt Port (in diesem Fall http: bei 80 anstelle von https: bei 443).
• RFC 2818: "HTTP Over TLS", unterscheidet gesicherten Datenverkehr vom unsicheren Verkehr durch die Verwendung eines anderen 'Server -Ports'.
• RFC 3207: "SMTP -Serviceerweiterung für sichere SMTP Over Transport Layer Security". Gibt eine Erweiterung des SMTP-Dienstes an, mit dem ein SMTP-Server und ein Client die Transport-Layer-Sicherheit verwenden können, um eine private, authentifizierte Kommunikation über das Internet bereitzustellen.
• RFC 3268: "Aes Ciphersuites für TLS". Fügt hinzu fortgeschrittener Verschlüsselungsstandard (AES) Cipher -Suiten zu den bisher vorhandenen symmetrischen Chiffren.
• RFC 3546: "Transport Layer Security (TLS) Erweiterungen", fügt einen Mechanismus für die Aushandlung von Protokollverlängerungen während der Sitzungsinitialisierung hinzu und definiert einige Erweiterungen. Veraltet von RFC 4366.
• RFC 3749: "Transport -Layer -Sicherheitsprotokoll -Komprimierungsmethoden" angibt das Framework für Komprimierungsmethoden und die Deflate Kompressionsverfahren.
• RFC 3943: "Transportschichtsicherheit (TLS) Protokollkompression unter Verwendung von Lempel-Ziv-Stac (LZS)".
• RFC 4132: "Zugabe von Kamelie Cipher -Suiten zum Transport von Layer Security (TLS) ".
• RFC 4162: "Zugabe von SAMEN Cipher -Suiten zum Transport von Layer Security (TLS) ".
• RFC 4217: "Sicherung FTP mit TLS".
• RFC 4279: "Pre-Shared Key Ciphersuites for Transport Layer Security (TLS)" fügt drei Sätze neuer Cipher-Suiten für das TLS-Protokoll hinzu, um die Authentifizierung basierend auf vorab getöteten Schlüsseln zu unterstützen.

Erweiterungen zu TLS 1.1 umfassen:

• RFC 4347: "Datagramm Transportschichtsicherheit"Gibt eine TLS -Variante an, die über Datagrammprotokolle (wie UDP) funktioniert.
• RFC 4366: "Transport Layer Security (TLS) -Extensions" beschreibt sowohl einen Satz spezifischer Erweiterungen als auch einen generischen Erweiterungsmechanismus.
• RFC 4492: "Kryptographie der elliptischen Kurve (ECC) Cipher Suites for Transport Layer Security (TLS) ".
• RFC 4680: "TLS -Handshake -Nachricht für ergänzende Daten".
• RFC 4681: "TLS User Mapping -Erweiterung".
• RFC 4785: "Pre-Shared Key (PSK) Chiffrensuites mit Nullverschlüsselung für die Transportschichtsicherheit (TLS)".
• RFC 5054: "Verwendung der Sichern Sie das Remote -Passwort (SRP) -Protokoll für die TLS -Authentifizierung ". Definiert die Tls-srp Chiffrens.
• RFC 5077: "Transport Layer Security (TLS) Sitzung ohne serverseitige Status".
• RFC 5081: "Verwenden OpenPGP Tasten für die Transportschicht -Sicherheit (TLS) Authentifizierung ", veraltet durch RFC 6091.

Erweiterungen zu TLS 1.2 umfassen:

• RFC 5288: "Aes Galois -Gegenmodus (GCM) Cipher -Suiten für TLS ".
• RFC 5289: "TLS Elliptische Kurve-Chiffre-Suiten mit SHA-256/384 und AES Galois Counter-Modus (GCM)".
• RFC 5746: "Transport Layer Security (TLS) Neuverhandlungsindikationsanzeige".
• RFC 5878: "Transport Layer Security (TLS) Autorisierungserweiterungen".
• RFC 5932: "Camellia Chiffher Suites für TLS"
• RFC 6066: "Transport Layer Security (TLS) Erweiterungen: Erweiterungsdefinitionen", einschließlich Servername -Anzeige und OCSP Stapling.
• RFC 6091: "Verwenden OpenPGP Schlüssel für die Transportschicht -Sicherheit (TLS) Authentifizierung ".
• RFC 6176: "Verbot von Secure Sockets Layer (SSL) Version 2.0".
• RFC 6209: "Zugabe der ARIE Cipher -Suiten zum Transport von Layer Security (TLS) ".
• RFC 6347: "Datagramm Transport Layer Security Version 1.2".
• RFC 6367: "Zugabe der Camellia -Chiffre -Suiten zum Transport von Layer Security (TLS)".
• RFC 6460: "Suite B -Profil für die Transportschichtsicherheit (TLS)".
• RFC 6655: "AES-CCM-Chiffre-Suiten für die Transportschichtsicherheit (TLS)".
• RFC 7027: "Elliptische Kurve Cryptography (ECC) Brainpool -Kurven für die Transportschichtsicherheit (TLS)".
• RFC 7251: "AES-CCM Elliptische Kurve Cryptography (ECC) -Schiffer-Suiten für TLS".
• RFC 7301: "Transport Layer Security (TLS) Anwendungsschichtprotokollverhandlung Verlängerung".
• RFC 7366: "Encrypt-Then-MAC für die Sicherheit der Transportschicht (TLS) und Datagramm Transport Layer Security (DTLS)".
• RFC 7465: "RC4 -Cipher -Suiten verbieten".
• RFC 7507: "TLS Fallback Signal Cipher Suite -Wert (SCSV) zur Verhinderung von Protokoll -Downgrade -Angriffen".
• RFC 7568: "Deprecating Secure Sockets Layer Version 3.0".
• RFC 7627: "Transport Layer Security (TLS) Session Hash und erweiterte Master Secret Extension".
• RFC 7685: "A TLS (Transport Layer Security) Clienthello Polstererweiterung".

Einkapsel von TLS umfassen:

• RFC 5216: "Das EAP-TLS -Authentifizierungsprotokoll "

Informations -RFCs

• RFC 7457: "Zusammenfassende Angriffe auf die Transportschichtsicherheit (TLS) und das Datagramm TLS (DTLS)" zusammengefasst "
• RFC 7525: "Empfehlungen für die sichere Verwendung von Transportschichtsicherheit (TLS) und Datagramm Transport Layer Security (DTLS)"

Siehe auch

• Anwendungsschichtprotokollverhandlung - Eine TLS -Erweiterung, die für SPDY und TLS Falschstart verwendet wird
• Bullrun (Entschlüsselungsprogramm) -Ein geheimes Anti-Decryption-Programm der US-amerikanischen National Security Agency
• Zertifizierungsstelle
• Zertifikattransparenz
• HTTP strenge Transportsicherheit - HSTs
• Schlüsselringdatei
• Private Kommunikationstechnologie (PCT) - Ein historischer Microsoft -Konkurrent bei SSL 2.0
• Quic (Schnelle UDP -Internetverbindungen) - "… wurde entwickelt, um Sicherheitsschutz zu bieten, die TLS/SSL entsprechen"; Das Hauptziel von Quic ist es, die wahrgenommene Leistung von verbindungsorientierten Webanwendungen zu verbessern, die derzeit TCP verwenden
• Servergesteuertes Kryptographie
• tcpcrypt
• Dtls
• TLS -Beschleunigung

Verweise

Weitere Lektüre

• Wagner, David; Schneier, Bruce (November 1996). "Analyse des SSL 3.0 -Protokolls" (PDF). Der zweite Usenix -Workshop über elektronische Handelsverfahren. Usenix Press. S. 29–40.
• Eric Rescorla (2001). SSL und TLS: Entwerfen und Bau sicherer Systeme. USA: Addison-Wesley Pub Co. ISBN 978-0-201-61598-2.
• Stephen A. Thomas (2000). SSL- und TLS -Essentials, die das Web sichern. New York: Wiley. ISBN 978-0-471-38354-3.
• Bard, Gregory (2006). "Ein herausfordernder, aber machbarer blockweise adaptiver gewählter Angriff auf SSL". Internationale Vereinigung für kryptologische Forschung (136). Abgerufen 23. September, 2011.
• Canvel, Brice. "Passwortabfangen in einem SSL/TLS -Kanal". Abgerufen 20. April, 2007.
• IETF Mehrere Autoren. "RFC der Veränderung für die Neuverhandlung von TLS". Abgerufen 11. Dezember, 2009.
• Erstellen von VPNs mit IPSec und SSL/TLS Linux Journal -Artikel von Rami Rosen
• Joshua Davies (2010). Implementierung von SSL/TLS. Wiley. ISBN 978-0470920411.
• Polk, Tim; McKay, Kerry; Chokhani, Santosh (April 2014). "Richtlinien für die Auswahl, Konfiguration und Verwendung von TLS -Implementierungen (Transport Layer Security)" (PDF). Nationales Institut für Standards und Technologie. Archiviert von das Original (PDF) am 8. Mai 2014. Abgerufen 7. Mai, 2014.
• Abdou, Abdelrahman; Van Oorschot, Paul (August 2017). "Serverspositionsverifizierung (SLV) und Serverspeicherort: Verbesserung der TLS -Authentifizierung". Transaktionen zu Datenschutz und Sicherheit. ACM. 21 (1): 1: 1–1: 26. doi:10.1145/3139294. S2CID 5869541.
• Ivan Ristic (2022). Kugelsicherer TLS und PKI, zweite Ausgabe. Lebhafte Ente. ISBN 978-1907117091.

Externe Links

• (Internet Engineering Task Force) TLS -Arbeitsgruppe