Поделиться через


Протокол TLS

В этом разделе для ИТ-специалистов описывается, как работает протокол TLS и содержит ссылки на IETF RFCs для TLS 1.0, TLS 1.1 и TLS 1.2.

Примечание.

В будущем выпуске Windows Server TLS 1.0 и 1.1 будут отключены по умолчанию. Дополнительные сведения см. в разделе TLS версий 1.0 и 1.1 отключения ресурсов.

Протоколы TLS (и SSL) находятся между уровнем протокола приложения и уровнем TCP/IP, где они могут защитить и отправить данные приложения на транспортный уровень. Так как протоколы работают между уровнем приложения и уровнем транспорта, TLS и SSL могут поддерживать несколько протоколов уровня приложений.

TLS и SSL предполагают, что используется транспорт, ориентированный на подключение, обычно TCP. Протокол позволяет клиентским и серверным приложениям обнаруживать следующие риски безопасности:

  • Изменение сообщений

  • Перехват сообщений

  • Заготовка сообщения

Протоколы TLS и SSL можно разделить на два уровня. Первый уровень состоит из протокола приложения и трех протоколов подтверждения: протокола подтверждения, протокола изменения спецификации шифров и протокола генерации оповещений. Второй уровень — протокол записи.

Уровни протокола TLS и SSL

Schannel SSP реализует протоколы TLS и SSL без изменений. Протокол SSL является владельцем, но группа задач по проектированию Интернета создает общедоступные спецификации TLS. Сведения о том, какая версия TLS или SSL поддерживается в версиях Windows, см. в разделе "Протоколы" в протоколах TLS/SSL (Schannel SSP). Каждая спецификация содержит сведения о следующем:

  • Протокол записи TLS

  • Протоколы подтверждения TLS: — изменение протокола спецификации шифров — протокол оповещений

  • Криптографические вычисления

  • Обязательные наборы шифров

  • Протокол данных приложения

RFC 5246 — протокол TLS версии 1.2

RFC 4346 — протокол TLS версии 1.1

RFC 2246 — протокол TLS версии 1.0

Возобновление сеанса TLS

Представлено в Windows Server 2012 R2, Schannel SSP реализовал серверную часть возобновления сеанса TLS. В Windows 8 добавлена реализация RFC 5077.

Устройства, подключающие TLS к серверам, часто требуют переподключения. Возобновление сеанса TLS снижает затраты на установку подключений TLS, так как возобновление включает сокращенное подтверждение TLS. Это упрощает более возобновление попыток, позволяя группе серверов TLS возобновить сеансы TLS друг друга. Это изменение обеспечивает следующую экономию для любого клиента TLS, поддерживающего RFC 5077, включая устройства Windows Phone и Windows RT:

  • Сокращение использования ресурсов на сервере

  • Снижение пропускной способности, что повышает эффективность клиентских подключений

  • Сокращение времени, затраченного на подтверждение TLS из-за возобновления подключения

Сведения о возобновлении сеанса TLS без отслеживания состояния см. в документе IETF RFC 5077.

Согласование протокола приложения

Windows Server 2012 R2 и Windows 8.1 ввели поддержку, которая обеспечивает согласование протокола приложений TLS на стороне клиента. Приложения могут использовать протоколы в рамках стандартной разработки HTTP 2.0, а пользователи могут получать доступ к веб-службы, например Google и Twitter, с помощью приложений, использующих протокол SPDY.

Сведения о том, как работает согласование протоколов приложений, см. в расширении согласования протокола протокола TLS.

Поддержка TLS для расширений указания имени сервера

Компонент указания имени сервера (SNI) расширяет возможности протоколов SSL и TLS для правильной идентификации сервера в случае, когда на одном сервере запущено несколько виртуальных образов. В сценарии виртуального размещения на одном сервере размещаются несколько доменов (каждый из которых имеет собственный потенциально отдельный сертификат). В этом случае сервер не может заранее знать, какой сертификат отправляется клиенту. SNI позволяет клиенту информировать целевой домен ранее в протоколе, и это позволяет серверу правильно выбрать соответствующий сертификат.

Это обеспечивает следующие дополнительные функциональные возможности:

  • Позволяет размещать несколько ВЕБ-сайтов SSL в одном сочетании протоколов Интернета и портов.

  • Сниженное использование памяти при размещении нескольких веб-сайтов, работающих по протоколу SSL, на единственном веб-сервере.

  • Позволяет пользователям подключаться к веб-сайтам SSL одновременно