SSL/TLS简介
TLS(Transport Layer Security)的前身是SSL(Secure Sockets Layer),SSL协议由Netscape 制定并发布,TLS由IEIF(Internet Engineering Task Force)制定并发布。TLS 1.0基于SSL 3.0制定的。
| 协议 | 发布 | 禁用 |
| SSL 1.0 | Unpublished | |
| SSL 2.0 | 1995 | 2011 (RFC 6176) |
| SSL 3.0 | 1996 | 2015 (RFC 7568) |
| TLS 1.0 | 1999 | |
| TLS 1.1 | 2006 | |
| TLS 1.2 | 2008 | |
| TLS 1.3 | Internet Draft |
TLS基础过程:
TLS双向认证过程:
加密套件(Cipher suite)
加密套件是一个算法集合,通常包含秘钥交换算法、数据加密算法、信息校验算法。格式为:
TLS_NULL_WITH_NULL_NULL
秘钥交换算法:用于两个设备间秘钥的交换
数据加密算法:用于传输数据的加密
信息校验算法:用于校验传输信息的完整性
TLS1.0 -1.2 加密套件列表
| Key exchange/agreement | Authentication | Block/stream ciphers | Message authentication |
| RSA | RSA | RC4 | Hash-based MD5 |
| Diffie–Hellman | DSA | Triple DES | SHA hash function |
| ECDH | ECDSA | AES | |
| SRP | IDEA | ||
| PSK | DES | ||
| Camellia |
TLS协议所支持的加密套件列表
| 协议 | 加密套件 |
| TLS1.0 | 详情 |
| TLS1.1 | 详情 |
| TLS1.2 | 详情 |
证书
X.509 是公钥证书格式标准,采用ASN.1语法定义证书的结构。
常见的文件后缀:
- .pem Base64编码的DER证书。
- .cer, .crt, .der 二进制的DER或者 Base64编码的证书
- .p12 包含公钥、私钥、证书链
- .pfx PKCS#12的前身,在IIS中生成
PKCS #12
Public-Key Cryptography Standards (PKCS) PKCS 是一组公钥密码学标准。
PKCS#12 是 PKCS标准组中的一个用来描述 个人信息交换语法标准,它是微软"PFX"的继承者, “PKCS 12文件”和"PFX"文件在一定条件下是可交换使用的。PKCS#12文件可以包含公钥、私钥、证书链。
PKCS#12 文件扩展名为".p12" 或“.pfx”。