SSL vs. TLS sono protocolli crittografici che criptano i dati scambiati/trasferiti tra il server web e un utente.
Phew! La sicurezza su Internet è un mondo pieno di gergo. Per un principiante come me è un incubo dare un senso a questi termini e a come funzionano insieme.
Ci vuole un sacco di pungoli per capire come funzionano e come sono diversi l’uno dall’altro.
Se avete letto di SSL recentemente, vi sarete imbattuti anche in TLS.
SSL si riferisce a Secure Sockets Layer mentre TLS si riferisce a Transport Layer Security. Fondamentalmente, sono la stessa cosa, ma completamente diversi.
Quanto sono simili entrambi? SSL e TLS sono protocolli crittografici che autenticano il trasferimento di dati tra server, sistemi, applicazioni e utenti. Per esempio, un protocollo crittografico cripta i dati che vengono scambiati tra un server web e un utente.
SSL è stato il primo protocollo crittografico del suo genere. TLS, d’altra parte, era una recente versione aggiornata di SSL.
Perché hai bisogno di un certificato SSL/TLS?
La sicurezza informatica è diventata una seria minaccia che si sta diffondendo in tutte le sezioni di Internet. Dalle scuole alle imprese e agli individui, mette a rischio i dati degli utenti di ogni tipo e dimensione. Il rischio è particolarmente alto quando c’è uno scambio di informazioni attraverso sistemi client e server.
C’è bisogno di un sistema sicuro che codifichi il flusso di dati da entrambe le parti. Un certificato SSL/TLS aiuta in questo. Agisce come un sistema di crittografia dell’endpoint che cripta i dati impedendo l’accesso non autorizzato da parte degli hacker.
In questi giorni, SSL ha anche guadagnato importanza come un serio segnale di ranking a causa dell’annuncio di Google. I siti web con certificati SSL guadagnano una migliore trazione nel ranking di ricerca, hanno una migliore esperienza utente e non pongono alcun problema di sicurezza – anche durante le transazioni eCommerce.
Un riassunto su SSL
Netscape ha sviluppato SSL nell’anno 1994. È stato concepito come un sistema che garantirà una comunicazione sicura tra i sistemi client e server sul web. A poco a poco, l’IETF (Internet Engineering Task Force) raccolse il protocollo e lo standardizzò come protocollo. Sono seguite due versioni di SSL che hanno appianato le vulnerabilità trovate nella versione 1. La versione attuale di SSL è SSL 3.0. Se guardiamo la storia qui sotto, possiamo supporre che IETF abbia seriamente tentato di proteggere i dati online con una sicurezza robusta al massimo.
SSL 1.0 | A causa di una falla nella sicurezza, SSL 1.0 non fu rilasciato. |
SSL 2.0 | SSL v2.0 fu il primo rilascio pubblico di SSL da Netscape. È stato rilasciato nel febbraio 1995, ma c’erano difetti di progettazione che hanno costretto Netscape a rilasciare SSL v.3. Tuttavia, SSL v.2.0 è stato deprecato nel 2011. |
SSL 3.0 | SSL v3 era una versione di aggiornamento della precedente versione SSL v2.0 che ha corretto alcuni difetti di progettazione della sicurezza di SSL v2.0 Tuttavia, SSL v3.0 ritenuto insicuro nel 2004 a causa dell’attacco POODLE. |
Un riassunto su TLS
TLS significa Transport Layer Security, che è un protocollo crittografico successore di SSL 3..0, che è stato rilasciato nel 1999.
TLS 1.0 | TLS 1.0 che era un aggiornamento di SSL v.3.0 rilasciato nel gennaio 1999, ma permette il downgrade della connessione a SSL v.3.0. |
TLS 1.1 | Dopo di che, TLS v1.1 fu rilasciato nell’aprile 2006, che era un aggiornamento della versione TLS 1.0. Ha aggiunto la protezione contro gli attacchi CBC (Cipher Block Chaining). Nel marzo 2020, Google, Apple, Mozilla e Microsoft hanno annunciato la deprecazione delle versioni TLS 1.0 e 1.1. |
TLS 1.2 | TLS v1.2 è stato rilasciato nel 2008 che permette di specificare l’hash e l’algoritmo utilizzato dal client e dal server. Permette la crittografia autenticata, che è stata aggiunta più supporto con modalità di dati extra. TLS 1.2 era in grado di verificare la lunghezza dei dati in base alla suite di cifratura. |
TLS 1.3 | TLS v1.3 è stato rilasciato ad agosto 2018 e aveva caratteristiche importanti che lo differenziano dalla sua versione precedente TLS v1.2 come la rimozione del supporto MD5 e SHA-224, richiedono la firma digitale quando la configurazione precedente utilizzata, l’uso obbligatorio di Perfect forward secrecy in caso di scambio di chiavi basato su chiave pubblica, i messaggi di handshake saranno ora criptati dopo “Server Hello”. |
Differenze tra SSL e TLS
Tuttavia, le differenze tra SSL e TLS sono molto piccole. Infatti, solo una persona tecnica sarà in grado di individuare le differenze. Le differenze degne di nota includono:
Suite cifrate
Il protocollo SSL offre il supporto per la suite cifrata Fortezza. TLS non offre supporto. TLS segue un processo di standardizzazione migliore che rende più facile la definizione di nuove suite di cifratura come RC4, Triple DES, AES, IDEA, ecc.
Messaggi di allarme
SSL ha il messaggio di allarme “Nessun certificato”. Il protocollo TLS rimuove il messaggio di allerta e lo sostituisce con diversi altri messaggi di allerta.
Protocollo di registrazione
SSL usa il Message Authentication Code (MAC) dopo la crittografia di ogni messaggio mentre TLS d’altra parte usa HMAC – un codice di autenticazione del messaggio basato su hash dopo ogni crittografia del messaggio.
Processo di handshake
In SSL, il calcolo dell’hash comprende anche il master secret e il pad mentre in TLS, gli hash sono calcolati sul messaggio di handshake.
Autenticazione del messaggio
L’autenticazione del messaggio SSL affianca i dettagli della chiave e i dati dell’applicazione in modo ad-hoc mentre la versione TLS si affida a HMAC Hash-based Message Authentication Code.
Queste sono le differenze essenziali tra un certificato SSL e TLS. Come ho detto prima, ci vuole un occhio allenato per capire le differenze.
In nutshell, SSL is obsolete and TLS is new name of older SSL protocol as modern encryption standard using by everybody. Technically, TLS is more accurate, but everyone knows SSL.
Poche considerazioni sul protocollo TLS
- Impedisce agli intrusi di manomettere i passaggi di comunicazione tra il server e l’utente.
- Inoltre impedisce agli intrusi di ascoltare le comunicazioni del server.
- TLS aggiunge latenza al traffico del sito.
- TLS utilizza la crittografia asimmetrica per la creazione della connessione, poi, permette la crittografia simmetrica per il client e il server per una connessione più veloce.
- Con l’aggiunta di HTTP/2, TLS rende la connessione più veloce.
Infine, hai bisogno di un certificato SSL/TLS?
Se si guarda a SSL rispetto al certificato TLS, entrambi svolgono lo stesso compito di crittografia dello scambio di dati. TLS è una versione aggiornata e sicura di SSL. Tuttavia, i certificati SSL che sono abbondantemente disponibili su Internet hanno lo stesso scopo di proteggere il tuo sito web. Infatti, entrambi offrono ai siti web la stessa barra dell’indirizzo HTTPS che è stata riconosciuta come il simbolo della sicurezza online.