SSL/TLS发展历程及原理简介

本专栏的初衷是：深入学习SSL/TLS协议。

随着数字信息时代的到来(DT), 生活中的方方面面几乎可以完全数字信息化，例如个人性别、地址、联系方式、财产、生活习惯、饮食习惯、工作情况、学历信息、健康状况、兴趣爱好等等都存储到互联网上，数据安全越来越重要，国家、公司、个人越来越重视信息安全。而SSL/TLS相比于其他的安全协议，常见的有IPSec等协议，存在诸多优势，应用场景更加广泛。

在工作过程中做了2年的IPSecVPN, 在此过程中经常遇到将IPSe与SSL对比的情景：包括各自的协议异同、应用场景、协议本身复程度以及用户易用性等各个方面。在做IPSec的这段时间并没有详细接触SSL协议，因此对上述的问题并没有多少了解和认识。但是做ipsec的我面试时，老被问TLS…也是没谁了。痛定思痛，IPSec和SSL协议作为安全协议中的杰出代表，还是很有必要深入研究学习下，即使我不再面试，也为了后面的面试人做准备吧。

此外还有一个非常重要的原因：因有非常广的应用前景，几乎整个互联网都在使用此协议。这也导致各大公司面试时比较重视SSL/TLS协议。

综合以上多种原因，因此准备详细整理下SSL/TLS相关知识，并由浅入深，逐步从原理深入到实现。文章计划包括如下内容：

• SSL/TLS的发展历程

• SSL/TLS的协议原理

• 密码学基础知识

• 常见的SSL/TLS实现方式

• TLS卸载

• SSL VPN

SSL/TLS专栏导航页

---

1. SSL/TLS发展历程

1.1 SSL协议

SSL/TLS协议最初叫做SSL协议(Secure Socket Layer),它是网景(Netscape)公司在1990年推出的私有协议，用于保护WWW的通讯安全。关于网景公司，我特意去搜索了下，网景浏览器在90年代相当火爆，市场占有率高达90%，后来被美国在线收购。但由于某些原因，在2003年7月15日解散。不过，就单单一个SSL协议，广泛用于当今的互联网总，网景公司便功不可没，毕竟能将公司内部私有协议做成RFC标准的公司，技术水平绝对不会差。

SSL协议共推出了3个版本:

• SSL1.0
• SSL2.0
• SSL3.0

由于SSL1.0和SSL2.0存在严重问题，前两个协议逐渐被重构后的SSL3.0所替代。

1.2 TLS协议

到了1999年，SSL协议在互联网中应用特别广泛，已经成为事实上的互联网标准。于是，在1999年IETF组织将SSL3.0协议规范进行了标准化，便成了TLS协议(Transport Layer Secure)。不过由于SSL3.0和TLS之间存在加密算法上的差异，因此不能互相操作。他们是两个不同的协议。

之后TLS协议也经历了多个版本的迭代优化：

• TLS1.0
• TLS1.1
• TLS1.2
• TLS1.3

现在的网络环境中，TLS1.2和TLS1.3应用的更为广泛：

人们将这两个协议统称为SSL/TLS协议。下文中仍然采用SSL/TLS的称谓进行介绍，但是实际上内容更多的为TLS协议的相关内容。

1.3 SSL/TLS原理简介

这里先对SSL/TLS协议做一个简单的介绍，方便大家对此协议有一个整体的认识。

SSL/TLS协议严格的说位于OSI-7层模型的会话层，在传输层(TCP, UDP)协议之上。网络协议关系图

SSL/TLS协议是一个分层协议，本身可以分为上下两层：

• 下层为TLS记录层协议（record layer protocal)
• 上层为TLS握手层协议（handshake layer protocal)

在RFC4346中也这样分类，不过上层协议不只是握手协议, 也包括应用层数据、告警协议、密码变更协议，以上四种统称之为TLS Handshake Protocal

换句话说：

Record层是SSL/TLS的基础封装协议，所有的TLS交互报文都需要通过TLS Record 层进行封装。

从下图可以看出：无论应用层数据还是TLS握手协议，都经过Record Layer进行封装。解析时通过ContentType字段进行区分。

SSL/TLS协议通过握手协议进行参数协商。协商的参数有：采用的加密算法、认证算法、摘要算法、密钥配送算法等等。通过握手协议，通信双方协商出相同的加密套件和密钥信息，后面便可以使用协商出的结果对双方的交互报文进行加密，从而实现安全可靠的信息传递。

目前SSL/TLS应用最多的场景便是：

• 与HTTP结合组成HTTPS。这是使用最多的场景
• 除此之外还有可以保护SMTPs、POP3s等。