SSL(Secure Sockets Layer)是一个使用加密技术保障网络通信安全的协议,最早由Netscape公司开发,用于保护浏览器和Web服务器之间的通信安全,后来被W3C正式标准化为TLS(Transport Layer Security)协议。SSL/TLS协议的历史版本如下:
SSL 1.0:1994年,最早的版本,从未广泛使用,存在许多安全漏洞,很快便被SSL2.0取代。
SSL 2.0:1995年发布,已经被广泛使用,但存在许多安全漏洞,已经被官方废弃。
SSL 3.0:1996年发布,是SSL协议的第三个版本,主要修复了SSL 2.0中存在的一些安全问题,但该协议也存在一些缺陷,例如:使用CBC模式的加密算法容易受到Padding Oracle攻击。
TLS 1.0:1999年发布,是SSL协议的重新设计版本,采用更加健壮的加密算法,例如:对称加密算法使用AES,哈希算法使用SHA-1。TLS 1.0是向下兼容SSL 3.0的,因此可以兼容大部分早期的应用程序和服务。
TLS 1.1:2006年发布,主要在TLS 1.0基础上增加了更严格的安全性要求,例如必须使用16字节的随机数、会话重放攻击保护和更好的授权管理。
TLS 1.2:2008年发布,是目前最广泛使用的TLS版本,实现了更高的安全性和更好的性能。主要改进包括:支持更好的密码套件、更强的身份验证、更好的完整性保护、适应网络更差的连接等。
TLS 1.3:2018年发布,是当前TLS协议的最新版本,采用更先进的加密算法,例如使用ChaCha20-Poly1305 AEAD加密算法代替AES-CBC,支持0-RTT等新功能,能够进一步提高安全性和性能。