既然 TLS 优于 SSL,为什么我们仍然普遍使用 SSL 和 HTTPS 这两个术语?
前者可能是轶事,但与我交谈的大多数人在一般谈话中仍然会说 SSL。HTTPS 一词更客观,因为这意味着 HTTP over SSL。
为什么我们不说 HTTPT(HTTP over TLS)并使用方案 httpt://?
为什么我们仍然使用术语 SSL 和 HTTPS?
信息安全
tls
2021-09-04 16:01:12
3个回答
巨大的努力。技术回报少。
引入一个新方案(方案如http://、https://、ftp://等)并部署它意味着破坏向后兼容性。不值得。
政治而不是技术
Ivan Ristic 在他的书的介绍中用了一些句子来说明这一点。
这本书叫做Bulletproof SSL and TLS。标题中同时包含“SSL”和“TLS”。(去搞清楚。)
介绍章节在网上免费。“SSL 与 TLS”部分(第 xix 页)和“协议历史”部分(第 3 页)中提到了命名争议。
似乎从 SSL 重命名为 TLS 的全部原因是政治而非技术。Ristic 的脚注链接到 Tim Dierks 的博客。Dierks 在 1996 年编写了 SSL 3.0 参考实现,这是他对命名的看法:
Tim Dierks,2014 年 5月 23 日,浏览器大战中的安全标准和名称更改(在此处存档):
作为讨价还价的一部分,我们必须对 SSL 3.0 进行一些更改(因此它看起来不像 IETF 只是在给 Netscape 的协议加盖印章),并且我们不得不重命名协议(出于同样的原因)。因此诞生了 TLS 1.0(实际上是 SSL 3.1)。当然,现在回想起来,整个事情看起来很傻。
进一步阅读
- 这是命名的另一种看法。作者是 Mike McCana(他自己运营 CA):
Mike McCana,CertSimple.com 博客,2016-01-05,为什么我们仍然说 SSL?(存档在这里。)
为什么我们不说 HTTPT(HTTP over TLS)并使用方案 httpt://?
因为在没有有效获得任何东西的情况下改变一切都是浪费时间和金钱?
主要是传统。人们长期以来一直使用“SSL”来指代加密通信,以至于即使称为 SSL 的协议都已被替换,但这个名称仍然存在。
至于为什么我们不叫它 HTTPT,很大一部分原因是Cool URLs Don't Change。现有网页中的大量链接会中断,其中许多可能永远不会更新。尽管听起来很令人沮丧,但我们不能指望用户了解如何将这些转换为 HTTPT 链接,即使这可能意味着只更改一个字符。
此外,Berkeley Breathed和作者ack可能会生气。
其它你可能感兴趣的问题