傳輸層安全性通訊協定
這個針對 IT 專業人員的主題介紹 Transport Layer Security (TLS) 協定的工作原理,並提供指向 TLS 1.0、TLS 1.1 和 TLS 1.2 IETF RFC 的連結。
注意
在未來的 Windows Server 發行版本中,預設將會停用 TLS 1.0 和 1.1。 如需詳細資訊,請參閱 TLS 1.0 和 1.1 版停用資源。
TLS (和 SSL) 協定位於應用協定層和 TCP/IP 層之間,且可以保護應用資料並將其傳送到傳輸層。 由於協定工作在應用層和傳輸層之間,因此 TLS 和 SSL 可以支援多個應用層協定。
TLS 和 SSL 假設使用的是面向連線的傳輸 (通常為 TCP)。 該協定允許客戶端和伺服器應用程式檢測以下安全風險:
訊息篡改
訊息攔截
訊息偽造
TLS 和 SSL 協定可分為兩層。 第一層由應用協定和三個握手協定組成:握手協定、更改密碼規格協定和警報協定。 第二層是記錄協定。
TLS 和 SSL 協定層
Schannel SSP 無需修改即可實現 TLS 和 SSL 協定。 SSL 協定是專有的,但 Internet Engineering Task Force 生成公共 TLS 規範。 有關 Windows 版本中所支援的 TLS 或 SSL 版本資訊,請參閱 TLS/SSL 中的協定 (Schannel SSP)。 每個規格都包含下列資訊:
TLS 記錄協定
TLS 握手協定:變更密碼規格協定—警報協定
Cryptographic Computations
Mandatory Cipher Suites
Application Data Protocol
RFC 5246 - The Transport Layer Security (TLS) Protocol Version 1.2
RFC 4346 - The Transport Layer Security (TLS) Protocol Version 1.1
RFC 2246 - The TLS Protocol Version 1.0
TLS 工作階段繼續
在 Windows Server 2012 R2 中引入 Schannel SSP,實現 TLS 工作階段恢復的伺服器端部分。 新增 RFC 5077 的客戶端實現到 Windows 8 中。
將 TLS 連接到伺服器的裝置經常需要重新連接。 TLS 工作階段恢復降低 TLS 連線建立的成本,因為恢復涉及簡短的 TLS 握手。 這允許一組 TLS 伺服器恢復彼此的 TLS 工作階段,從而有助於更多的恢復嘗試。 此修改為支援 RFC 5077 的任何 TLS 使用者端 (包括 Windows Phone 和 Windows RT 裝置) 提供下列節省:
減少伺服器上的資源使用量
降低頻寬,改善用戶端連線的效率
由於恢復連線而減少 TLS 握手所花的時間
有關無狀態 TLS 工作階段恢復的資訊,請參閱 IETF 文件 RFC 5077。
應用程式通訊協定交涉
Windows Server 2012 R2 和 Windows 8.1 引入的支援允許使用者端 TLS 應用程式協定協商。 應用程式可以利用協定作為 HTTP 2.0 標準開發的一部分,而使用者可以使用執行 SPDY 協定的應用程式來存取線上服務,例如 Google 和 Twitter。
有關應用程式協定協商如何工作的資訊,請參見 Transport Layer Security (TLS) Application Layer Protocol Negotiation Extension。
TLS 支援 Server Name Indication 擴充功能
伺服器名稱指示器 (SNI) 功能會延伸 SSL 和 TLS 通訊協定,當單一伺服器上有許多虛擬映像正在執行時,允許對伺服器進行適當的識別。 在虛擬裝載方案中,多個網域 (每個網域都有其自己的可能不同的憑證) 裝載在一個伺服器上。 在這種情況下,伺服器無法預先知道要傳送到客戶端的憑證。 SNI 允許客戶端在協定中更早地通知目標域,這允許伺服器正確地選擇正確的憑證。
這提供下列額外功能:
可讓您在單一 Internet Protocol 與連線埠組合上裝載多個 SSL 網站
在單一網頁伺服器上裝載多個 SSL 網站時,可以降低記憶體使用率
允許更多使用者同時連線到 SSL 網站