Küsimus:
Miks me ikkagi kasutame termineid SSL ja HTTPS?
Ian Newson
2015-06-24 14:39:10 UTC
view on stackexchange narkive permalink

Kuna TLS-i eelistatakse SSL-i asemel, miks me ikkagi kasutame termineid SSL ja HTTPS üldiselt?

Esimene neist võib olla anekdootlik, kuid enamik inimesi, kellega ma räägin, ütlevad siiski SSL-i üldises vestluses. Termin HTTPS on objektiivsem, kuna see tähendab HTTP-d SSL-i kaudu.

Miks me ei ütle HTTPT (HTTP TLS-i kaudu) ja kasutame skeemi httpt: //?

"S" HTTPS-is võib tähendada "Secure".
@SilverlightFox: RFC-delt seda ei leia. Kas teil on allikas?
@StackzOfZtuff: [Google mainib seda siin] (https://support.google.com/webmasters/answer/6073543?hl=et): "Saate oma saidi turvaliseks muuta HTTPS-i (Hypertext Transfer Protocol Secure) abil." Ka kõnekeeles võib seda nimetada HTTP Secure'iks.
Seotud küsimus Thomas Pornini vastusega: [Mis vahe on SSL-il, TLS-il ja HTTPS-il?] (Https://security.stackexchange.com/questions/5126/whats-the-difference-between-ssl-tls-and-https )
@SilverlightFox: Huh. See on tegelikult [IANA registris kui "Hypertext Transfer Protocol Secure"] (https://www.ietf.org/assignments/uri-schemes/uri-schemes.xml)! Kuid see on ainus ametlik allikas, mille ma selle pika nimena leian.
@StackzOfZtuff: Kui soovite RFC-d, on see [RFC 7230] (http://tools.ietf.org/html/rfc7230#page-62).
HTTPS ei tähendanud kunagi HTTP-SSL-i, see on eeldus, mis ei järgi RFC-d. SFTP => Turvaline FTP, mitte SSL-FTP.
See, et Etherneti sorte kutsutakse kõik "ethernetiks", on veelgi intrigeerivam - ja sama mõttetu kontekstis, kui teie arvuti täidab mõnda kõrgetasemelist ülesannet (nagu näiteks, printige arve või näidake teile seksikaid pilte, kui seda ütlete) .
SSL-i kasutamiseks pole teil HTTP vaja.
Seotud: 2013-06-20, SecSE, [Miks ei nimetata TLS-i lihtsalt SSL v 4.0-ks?] (Https://security.stackexchange.com/questions/37747/why-isnt-tls-just-called-ssl-v-4-0)
Kolm vastused:
StackzOfZtuff
2015-06-24 14:57:12 UTC
view on stackexchange narkive permalink

Tohutu vaev. Vähe tehnilist tulu.

Uue skeemi tutvustus (skeemid on näiteks http: // , https: // , ftp: // jne) ja selle juurutamine tähendaks tagurpidi ühilduvuse purustamist. Ei ole seda väärt.

Pigem poliitiline kui tehniline
Ivan Ristic pühendab sellele oma raamatu sissejuhatuses mõned laused.

Raamat on nimega kuulikindel SSL ja TLS . Pealkirjas on nii „SSL” kui ka „TLS”. (Mine joonele.)

sissejuhatav peatükk on veebis tasuta. Nimetamisvaidlusi mainitakse jaotistes "SSL versus TLS" (leht xix) ja jaotises "Protokolliajalugu" (leht 3).

Näib kogu SSL-ist TLS-iks ümbernimetamise põhjus oli pigem poliitiline kui tehniline. Risticu joonealused märkused viitavad Tim Dierksi ajaveebile. Dierks kirjutas SSL 3.0 viite juurutamise 1996. aastal ja see on tema nimi:

  • Tim Dierks, 2014-05-23, turvastandardid ja nimi Muudatused brauserisõdades (arhiveeritud siin):

    Hobusekaubanduse osana pidime SSL-i mõned muudatused tegema 3.0 (nii et see ei näeks välja [nagu oleks] IETF oli lihtsalt Netscape'i protokolli kummitempel) ja me pidime protokolli ümber nimetama (samal põhjusel). Nii sündis TLS 1.0 (mis oli tõesti SSL 3.1). Ja muidugi, nüüd tagantjärele tundub kogu see asi rumal.

Edasine lugemine

  • Siin on veel üks ülevaade nimetamine. Selle autor on Mike McCana (kes ise haldab CA-d):
    Mike McCana, CertSimple.com ajaveeb, 2016-01-05, Miks me ikka ütleme SSL-i? (Arhiveeritud siin.)
Täname suurepärase vastuse eest. Saab otse teema tuumani.
Kui keegi hoolib piisavalt, oleks vist odav viis selle parandamiseks helistada TLS 1.3 SSL 4-le või sarnasele. Oletan, et 90ndate poliitiline maastik pole enam probleem.
Lisan lihtsalt, et pole tegelikult vahet, kas nimetame seda SSL, TLS, RTS, FPS, SSS, STP, STS või mõnda muud kolmetähelist akronüümi (mõned on minu arvates pigem nutikad ja vähem kuivad kui ametlikud nimed, kahju, et ma unustan need 30 minutiga). Kõik, kes pole tehnilised, hoolivad * S * - turvalisusest. Nad tahavad, et A (ise) räägiks B-ga (keegi teine) ilma, et C (halb inimene) keskele satuks.
@phyrfox Võib-olla nimetame seda siis AB! C-protokolliks.
Steffen Ullrich
2015-06-24 14:57:30 UTC
view on stackexchange narkive permalink

Miks me ei ütle HTTPT (HTTP üle TLS-i) ja kasutame skeemi httpt: //?

Sest muutmine oleks aja ja raha raiskamine kõike, ilma et midagi tõhusalt kätte saaks?

Ma arvan, et pole õige öelda, et midagi ei saavutata, kuna ebajärjekindlus maksab aega. Aus oleks öelda, et siiski ei saada piisavalt, ehk teisisõnu ei õigusta kulude ja tulude suhe seda. Ma saan aru, et lõhen juukseid!
Kuidas saab see küsimus küsimusele vastata? Kas suudate tõestada, et protokolli lisamine oleks aja ja raha raiskamine? (Lõhun ka juukseid)
@A.L: Pidasin ilmseks, et juhtmega juhtumite ümbernimetamine miljoniteks seadmeteks ja tarkvaraks ning dokumentidesse, raamatutesse jne on vaja märkimisväärseid ressursse. Ja netomõju on lihtsalt ümbernimetamine.
@IanNewson: TLS on lihtsalt üks sõna SSL-i jaoks, tegelikult on TLS 1.0 protokoll SSL 3.1 jne. Selle fakti õpetamine oleks palju odavam kui kõike ümber nimetada.
TLS pole sõna. See on lühend. Ja tähistab midagi muud kui SSL. Saan aru, et TLS oleks pidanud olema SSL 3.1, kuid see pole nii.
@IanNewson: TLS on teine ​​lühend, mis ütleb tegelikult sama mis SSL: turvaline kiht andmete transportimiseks. Parem on õpetada, et SSL pole katki ja TLS uus ja läikiv asi, vaid et oluline erinevus on protokolliversioon, mitte protokolli nimi. Siis on ka lihtsam väita, et inimesed peaksid liikuma üles TLS 1.2-le ja mitte püsima TLS 1.0-ga, sest ka sellel on disainiprobleeme.
@IanNewson: Ma arvan, et siin on võti see, et kuigi on kontekste, kus on kasulik järjekindlalt vältida "TLS-i" SSL-i nimetamist, ei laiene see järjekindlalt hüperteksti edastamise protokolli leiutamisele. Olemasolevat protokollinime "https" on lihtsam tõlgendada nii, et see tähendaks "http over a turvalise sokliprotokolli", kui eristada vanu "https" uuest "httpt" koos kõigi sellega kaasnevate kuludega.
@IanNewson, akronüümid * on * sõnad: ["sõna moodustatud ..." - sõnastik.com] (http://dictionary.reference.com/browse/acronym), ["sõna moodustatud ..." - Merriam -Webster] (http://www.merriam-webster.com/dictionary/acronym).
Ma arvan, et inimesed ignoreerivad tegelikku vastust. 's' tähendab turvalist, nii et selleks kasutatav krüptimine pole oluline. TLS, SSL jne on kõik eraldi krüptimismeetodid turvalise protokolli loomiseks. Miks peaksite oma URL-i skeemi kunagi oma krüptovõtme nime kajastama muutma? Asjaolu, et üks on olemas, on põhjus, miks 's' seal üldse on.
Kogu arutelu näeb üha enam välja nagu [ratta heitmine] (https://et.wiktionary.org/wiki/bikeshedding).
The Spooniest
2015-06-24 22:08:56 UTC
view on stackexchange narkive permalink

Enamasti traditsioon . Inimesed on krüpteeritud suhtlusele viitamiseks kasutanud "SSL-i" nii kaua, et kuigi protokollid, mida nimetatakse SSL-iks, on kõik asendatud, on see nimi kinni jäänud.

Mis puudutab seda, miks me ei nimeta seda HTTPT , suur osa põhjusest on see, et lahedad URL-id ei muutu. Suur hulk linke olemasolevatel veebilehtedel katkeks ja paljusid neist tõenäoliselt ei värskendataks. Nii masendavalt kui see ka ei tundu, ei saa me loota, et kasutajad saavad aru, kuidas need HTTPT-linkideks teisendada, kuigi see võib tähendada ainult ühe märgi muutmist.

Pealegi Berkeley Breathed ja ack autorid võivad hulluks minna.



See küsimus ja vastus tõlgiti automaatselt inglise keelest.Algne sisu on saadaval stackexchange-is, mida täname cc by-sa 3.0-litsentsi eest, mille all seda levitatakse.
Loading...