SSL协议、TLS协议，使用哪一种更安全？

在金融银行业，保护机密信息的安全至关重要。由于财务记录完全通过在线数据库维护，因此实施保护客户、银行和金融机构免受黑客攻击的安全功能比以往任何时候都更加重要。安全套接字层(SSL)协议和传输层安全(TLS)协议，都是有助于保护数据并使您的网站对最终用户更安全的安全协议，这两种协议都是为了提供安全连接而创建的，但哪种对金融银行业最有效呢？

SSL 2.0 是 Netscape 在 1995 年开发的原始协议，但在 1996 年很快被 SSL 3.0 取代。1999 年，TLS 1.0 作为基于 SSL 3.0 的升级协议被引入RFC定义。这些协议中的任何三个都可以互换使用，直到 SSL 2.0 和 3.0 协议被认为太容易受到安全漏洞的影响而被要求弃用。继续使用 SSL 协议的网站会通过浏览器的安全警告和其他通知，让用户知道网站可能不安全，从而降低用户体验。

由于 POODLE（Padding Oracle On Downgraded Legacy Encryption）攻击允许从 SSL 3.0 服务器中提取加密信息，美国政府已强制要求所有敏感且符合 HIPPA （健康保险携带和责任法案）标准的通信，例如金融银行使用 TLS 协议进行通信。TLS 现在是行业标准，因为它消除了 SSL 协议相关的安全问题，并保护加密信息在 POODLE 等攻击中不被窃取。

TLS 在更高版本的协议中进行了更新和升级，现在 TLS 1.0、TLS 1.1 协议也正在逐步淘汰。 随着TLS1.3协议的发布，TLS 1.2 也将逐步被弱化使用，建议升级使用 1.3版本。

那么，如果您的网站不接受信用卡付款，可以使用 SSL 或早期版本的 TLS 吗？当然是不行的，大多数浏览器将对低版本SSL/TLS协议发出警告，提示“此网站无法提供安全连接”、“使用了不受支持的协议”。信用金融银行应使用TLS 1.2以上的版本来确保通信连接受加密保护，更高版本的TLS协议将保护通信连接免受攻击，并确保您的机密信息安全。

随着HTTPS热度涌入SSL证书市场的服务商众多，企业资质、技术服务能力参差不齐，用户在选购SSL证书的过程中，应理性选择具备合规资质和专业服务能力的服务机构。沃通WoTrus是电子认证服务机构（CA）及网络安全服务提供商，获得国密局颁发《电子认证使用密码许可证》、工信部颁发《电子认证服务许可证》，获批电子政务电子认证服务资质，专注数字证书行业近二十年，具备合规资质和专业服务能力，是国内SSL证书市场第一梯队服务商。沃通拥有资深的技术支持和客户服务团队，一对一客户服务、免费技术指导，及时响应用户售前售后需求，帮助您快速正确部署HTTPS加密，规避用户部署过程容易出现的低版本SSL协议、弱加密套件等部署问题带来的安全风险。

沃通提供全球信任的SSL证书，由全球信任顶级根签发，支持所有主流浏览器、操作系统和移动终端，支持JAVA和老设备；还提供国密算法SSL证书，支持主流国密浏览器，符合商用密码应用要求。

要及时了解SSL技术的最新消息，请访问沃通CA官网。

参考

1. 沃通SSL证书 https://wosign.com/marketing/ssl_new.htm


2. 沃通国密SSL证书 https://wosign.com/sm2_https/sm2_https.htm