SSL协议由美国 NetScape公司开发的,V1.0版本从没有公开发表过;V2.0版本于1995年2月发布。但是,由于V2.0版本有许多安全漏洞,所以,1996年紧接着就发布了V3.0版本。
SSL协议 V2.0 主要安全漏洞:
(1) 同一加密密钥用于消息身份验证和加密。
(2) 弱消息认证代码结构和只支持不安全的MD5哈希函数。
(3) SSL握手过程没有采取任何防护,这意味着非常容易遭遇中间人攻击。
(4) 使用TCP连接关闭,以指示数据的末尾(没有明确的会话关闭通知)。这意味着截断攻击是可能的:攻击者只需伪造一个TCP FIN,使得接受方无法识别数据结束消息的合法性。
(5) 仅能提供单一服务和绑定一个固定域名,这与Web服务器中的虚拟主机标准功能有冲突,这意味着,许多网站都无法使用SSL。
因为SSL v2.0协议存在许多安全漏洞问题,容易遭遇中间人攻击和容易被破解。但是,由于许多系统和Web服务器都还支持SSL v2.0协议,所以为了增强用户浏览网页的安全,目前所有主流新版浏览器都已经不支持不安全的SSL v2.0协议。 Continue reading »