您可能听说过 SSL 和 TLS 这两个术语，但是您知道它们是什么以及它们之间的区别吗？

SSL（安全套接字层）和 TLS（传输层安全性）是保护（加密）邮件客户端和邮件服务器（例如 Outlook 和 MDaemon）之间或邮件服务器（例如 MDaemon 和另一个邮件服务器）之间的连接的方法。它们也是确保网站和浏览器之间通信安全的方法。在本文中，我们将重点介绍其在加密电子邮件连接中的用途。

如果没有 SSL 或 TLS，则邮件客户端和服务器之间发送的数据将以纯文本格式发送。这有可能使您的企业更容易泄露机密信息，凭据被盗，或者账户被用于发送垃圾邮件。SSL 和 TLS 可用于帮助您保护这些数据。SSL 和 TLS 允许用户通过电子邮件安全地传输敏感信息，例如社会保险号、信用卡号或医疗信息。

 

SSL 和 TLS 的工作方式

为了使用 SSL 或 TLS，您需要使用 SSL 证书才能建立 SSL/TLS 连接。SSL 证书使用密钥对（公用密钥和专用密钥）建立安全连接。如果邮件客户端或服务器要使用 SSL 连接到另一台服务器，则使用所谓的“SSL 握手”来建立 SSL 连接。在此过程中，将使用三个密钥来建立 SSL 连接——公共密钥、私有密钥和会话密钥。用公钥加密的数据只能用相应的私钥解密，反之亦然。通过公钥和私钥进行的加密仅在“SSL 握手”期间创建对称会话密钥。建立安全连接后，将使用会话密钥对所有传输的数据进行加密。

SSL 和 TLS 都通过动态数据加密来保护数据隐私，为通信通道提供服务器端和（可选）客户端加密，并有助于确保邮件的完整性。

POP、IMAP 和 SMTP 通信通过指定的端口传输。默认情况下，IMAP 使用 143 端口，POP 使用 110 端口，SMTP 使用 25 端口。基于 SSL/TLS 的 IMAP 使用 993 端口。基于 SSL/TLS 的 POP 使用 995 端口，基于 SSL/TLS 的 SMTP 使用 465 端口。如果发生这些连接类型，则必须将邮件客户端和邮件服务器都配置为使用正确的端口，并且必须在服务器上安装有效的 SSL 证书。

 

SSL 和 TLS 有什么区别？

那么 SSL 和 TLS 有什么区别？TLS 是 SSL 的后继产品。它是在 1999 年作为对 SSL 3.0 的升级版而引入的，因此 TLS 1.0 与 SSL 3.0 最相似，有时也称为 SSL 3.1，尽管 TLS 与 SSL 3.0 不兼容。SSL 的版本号为 1.0、2.0 和 3.0，而 TLS 使用不同的编号模式：-1.0、1.1、1.2。

由于 TLS 与 SSL 3.0 不兼容，因此客户端和服务器必须就使用哪种协议达成一致。这是通过所谓的“握手”完成的。如果无法使用 TLS，则连接可能会退回到 SSL 3.0。

没有太多技术含量（有很多在线资源可以解释 SSL 和 TLS 之间的技术差异），以下是 SSL 和 TLS 之间的一些差异：

TLS 具有更多的警报描述——SSL 或 TLS 连接遇到问题时，遇到问题的一方将发送警报消息。

SSL 具有以下 12 条警报消息：
√ 关闭通知
√ 意外消息
√ 坏记录 MAC
√ 解压失败
√ 握手失败
√ 无证书
√ 坏证书
√ 不支持的证书
√ 证书被吊销
√ 证书已过期
√ 证书未知
√ 非法参数

TLS 具有以下额外的警报消息：
√ 解密失败
√ 记录溢出
√ 未知的 CA（证书颁发机构）
√ 访问被拒
√ 解码错误
√ 解密错误
√ 导出限制
√ 协议版本
√ 安全性不足
√ 内部错误
√ 用户已取消
√ 无重新谈判
√ 不支持的扩展
√ 证书无法获取
√ 无法识别的名称
√ 坏证书状态响应
√ 坏证书哈希值
√ 未知的 PSK
√ 无应用协议

TLS 使用 HMAC 进行邮件的身份验证——SSL 使用借助 MD5 或 SHA 的身份验证代码（MAC）来验证邮件的完整性（确定邮件是否已更改）。另一方面，TLS 使用 HMAC，使其可以与更多的哈希函数一起使用——不仅是 MD5 和 SHA。

TLS 使用一套不同的密码。
基本上，密码套件是用于协商网络连接安全设置的身份验证、加密、邮件验证代码（MAC）和密钥交换算法的组合。可以在此处找到更多信息：https://en.wikipedia.org/wiki/Cipher_suite

SSL 和 TLS 重要吗？
企业有责任保护财务数据（例如信用卡信息）和消费者记录（例如姓名、地址、话号码和医疗信息）。如果没有某种形式的加密，无论是通过使用 SSL 和 TLS 的加密连接，还是通过使用 Virtru 或 OpenPGP 加密消息本身，敏感数据都可能容易受到黑客和其他形式的未授权访问的攻击。

推荐使用哪种方法？
众所周知，SSL 3.0 存在一个称为 POODLE 的漏洞。点击此处来全面了解此漏洞和建议的操作：https://www.openssl.org/~bodo/ssl-poodle.pdf。概述中建议的一种解决方案是完全禁用邮件客户端和服务器上的 SSL 3.0 协议。这可能不切实际，因为它可能会影响仍在使用 SSL 3.0 的旧系统。

我们建议尽可能使用 TLS。TLS 1.2 是目前推荐的安全性版本，但尚未得到普遍支持。直到 2009 年，Windows 7 和 Server 2008 R2 才添加 TLS 1.1+ 支持。

MDaemon 和 SecurityGateway 使用的加密协议和密码取决于操作系统，可以通过注册表进行配置。您可以使用免费的 IIS 加密工具来设置适当的注册表项。更多信息可以在这里找到： https://www.nartac.com/Products/IISCrypto

我希望这些信息有助于弄清有关 SSL 和 TLS 的任何问题，以及推荐使用哪种加密方法。与往常一样，如果您有任何疑问或意见，请告诉我们！