虽然每天都在申请“SSL 证书”、配置“SSL 终结”、查看“SSL Labs”报告,但现代互联网实际上运行的却是 TLS(Transport Layer Security) 协议。
SSL(Secure Sockets Layer)早已在 2014 年后被彻底淘汰,为什么行业仍习惯用“SSL”这个老名字?
本文带你了解 30 年的加密进化史,从 Netscape SSL 1.0 的实验室产物,到 TLS 1.3 的极简安全模型,揭开命名背后的技术断代、版本淘汰的安全逻辑,以及为什么 “SSL” 这个词至今仍存活在营销和配置文件里。
历史回顾:从 SSL 1.0 到 TLS 1.3 的 30 年演进
1994 年,Netscape 推出 SSL 1.0 —— 这是史上第一个商用加密协议。但它从未公开发布,因为设计缺陷被内部废弃。
1995 年,SSL 2.0 正式亮相,但很快也暴露严重漏洞:弱密钥生成、缺少完整性保护、易遭中间人攻击。
1996 年,Netscape 推出 SSL 3.0,首次引入 CBC 模式和 HMAC,奠定了现代加密基础。
1999 年,IETF 接手标准化工作,将 SSL 3.0 稍作修改并改名 TLS 1.0(RFC 2246)。这一改名标志着“安全套接层”正式升级为“传输层安全”。
2006 年, TLS 1.1 发布,引入随机 IV 缓解部分攻击;
2008 年, TLS 1.2 发布,支持 SHA-256、AEAD 密码套件,成为当时最强版本。
2018 年 8 月,TLS 1.3(RFC 8446)正式定稿,经过 28 轮草案打磨,成为当今主流。
30 年间,协议从“实验性加密通道”进化成“互联网信任基石”,握手从 3-RTT 降到 1-RTT,安全强度从“勉强防御”升级到“完美前向保密”。
纠偏:SSL 与 TLS 的技术断层
SSL 和 TLS 虽然功能相似,但属于两个技术世代。
1. SSL 是 Netscape 私有协议(1.0–3.0),TLS 是 IETF 公开标准(1.0 起)。
2. 技术上,TLS 1.0 其实就是 SSL 3.1 的“改头换面” —— 握手消息格式、伪随机函数(PRF)都做了微调,防止与旧 SSL 兼容时被降级攻击。
为什么改名?
1. “SSL”已成 Netscape 商标,且 IETF 希望强调这是传输层(Transport Layer)的标准化安全协议,不再是浏览器厂商的私有技术。
2. 从 TLS 1.0 开始,所有后续版本都不再兼容 SSL 3.0 的部分危险特性。
3. 2026 年,任何还在配置文件里写 SSLv3 的服务器,都会被浏览器直接拒绝连接。
版本淘汰原因:TLS 1.0/1.1 被现代浏览器弃用
TLS 1.0 和 1.1 的退役,并非“年龄太大”,而是致命漏洞无法修补。
1. BEAST 攻击(2011 年):针对 TLS 1.0 的 CBC 模式。 攻击者利用 JavaScript 在浏览器中发起同源请求,预测 IV(初始化向量),逐字节破解 Cookie 等敏感数据。 TLS 1.1 通过随机 IV 缓解,但 TLS 1.0 彻底中招。
2. POODLE 攻击(2014 年):虽然主要针对 SSL 3.0,但 TLS 1.0/1.1 因“降级兼容”机制,也可被诱导回退到 SSL 3.0。 攻击者通过百万次重放,巧妙操纵 padding,解密 CBC 加密块。Google、Microsoft 随后强制浏览器禁用 SSL 3.0,并逐步拉黑 TLS 1.0/1.1。
3. Lucky13(2013)、CRIME、RC4 偏差等攻击。
2020 年后,Chrome、Firefox、Edge、Safari 全部默认禁用 TLS 1.0/1.1; 2025–2026 年,主流 CDN 和云厂商(如 Cloudflare、阿里云)已彻底关闭对这些版本的支持。任何站点若仍启用 TLS 1.0/1.1,SSL Labs 评分直接掉到 C 级或更低。
TLS 1.3 的飞跃:移除不安全算法后的极简安全模型
TLS 1.3 安全大扫除
1. 彻底移除静态 RSA 密钥交换:不再允许用服务器长期证书私钥直接加密 pre-master secret。全部强制 (EC)DHE,实现完美前向保密(PFS)。
2. 删除老旧算法:MD5、SHA-224、SHA-1(部分场景)、CBC 模式、RC4、3DES、静态 Diffie-Hellman 统统下线。只保留 AES-GCM、ChaCha20-Poly1305 等 AEAD 密码套件。
3. 握手极简化:从 TLS 1.2 的 2-RTT 降到 1-RTT(支持 0-RTT 恢复),所有握手后消息全部加密,中间人无法读取证书细节。
结果:握手延迟降低 30–50%,攻击面缩小 80% 以上。2026 年,TLS 1.3 占比已超过 95%(Chrome 统计),成为默认强制选项。
为什么今天仍在说“SSL”?
技术上 TLS 早已取代 SSL,但“SSL 证书”这个词却顽强存活。
1. 品牌惯性与营销便利:SSL 发音简短、朗朗上口,TLS 听起来像技术术语。“买 SSL 证书”比“买 TLS 证书”更容易被普通用户理解。OpenSSL、SSL Labs、Certbot 等知名工具仍保留 SSL 命名,进一步强化习惯。
2. 证书本身不变:无论协议是 TLS 1.2 还是 1.3,X.509 证书格式完全一样。用户购买的是“用于 TLS 的证书”,但厂商为了兼容旧文档和 SEO,统一叫“SSL 证书”。
3. 历史包袱:从 1990 年代起,SSL 就是“加密”的代名词。像人们仍把搜索引擎叫“Google”、把纸巾叫“Kleenex”一样,行业术语一旦深入人心,就很难改口。
结语:习惯叫 SSL,实际用 TLS
从 Netscape SSL 1.0 的实验室失败品,到 TLS 1.3 的极简安全模型,30 年进化史的核心逻辑始终不变:每一次升级,都是为了封堵上一个版本漏洞,防止被攻击。 TLS 1.0/1.1 被弃用,是因为 CBC 模式和降级机制已无法修补;TLS 1.3 成为标配,是因为它把“安全”做到极致简洁。
从 SSL 到 TLS 不止是名字的改变,而是互联网安全 30 年的自我迭代更新。未来 TLS 1.4 或后量子加密可能还会到来,但“SSL”这个亲切的旧称,大概率还会继续陪伴我们很久。