SSL vs. certificado TLS são protocolos criptográficos que encriptam dados a serem trocados/transferidos entre o servidor web e um utilizador.
Phew! A segurança da Internet é um mundo cheio de jargões. Para um novato como eu, é um pesadelo dar sentido a estes termos e à forma como funcionam em conjunto.
É preciso muito esforço para compreender como funcionam e como são diferentes uns dos outros.
Se tivesse lido recentemente sobre SSL, teria tropeçado também em TLS.
SSL refere-se à Camada de Sockets Seguros enquanto TLS se refere à Camada de Segurança da Camada de Transporte. Basicamente, são uma e a mesma, mas, completamente diferentes.
Quão semelhantes são ambos? SSL e TLS são protocolos criptográficos que autenticam a transferência de dados entre servidores, sistemas, aplicações e utilizadores. Por exemplo, um protocolo criptográfico codifica os dados que são trocados entre um servidor web e um utilizador.
SSL foi um primeiro do seu tipo de protocolo criptográfico. O TLS, por outro lado, foi uma versão actualizada recente do SSL.
Por que precisa de um certificado SSL/TLS?
A segurança cibernética tornou-se uma séria ameaça que se está a espalhar por todas as secções da Internet. Desde escolas a empresas e indivíduos, coloca em risco dados de utilizadores de todos os tipos e tamanhos. O risco é especialmente maior quando há troca de informação através de sistemas cliente e servidor.
Há necessidade de um sistema seguro que encripte o fluxo de dados de ambos os lados. Um certificado SSL/TLS ajuda com isso. Actua como um sistema de encriptação de ponto final que encripta dados impedindo o acesso não autorizado por hackers.
Na actualidade, o SSL também ganhou importância como um sinal de classificação sério devido ao anúncio do Google. Websites com certificados SSL ganham melhor tracção na classificação da pesquisa, têm melhor experiência do utilizador e não colocam quaisquer preocupações de segurança – mesmo durante transacções de comércio electrónico.
Um resumo sobre SSL
Netscape desenvolveu SSL no ano de 1994. Foi concebido como um sistema que assegurará uma comunicação segura entre os sistemas cliente e servidor na web. Gradualmente, a IETF (Internet Engineering Task Force) pegou no protocolo e padronizou-o como um protocolo. Seguiram-se duas versões do SSL que eliminaram as vulnerabilidades encontradas na versão 1. A versão actual do SSL é a SSL 3.0. Se olharmos para o histórico abaixo, podemos assumir que a IETF tentou seriamente proteger dados online com segurança robusta no seu melhor.
SSL 1.0 | Due to security flaw, SSL 1.0 was not released. |
SSL 2.0 | SSL v2.0 was the first public release of SSL by Netscape. Foi lançado em Fevereiro de 1995 mas houve falhas de design que obrigaram a Netscape a lançar SSL v.3. No entanto, SSL v.2.0 foi depreciado em 2011. |
SSL 3.0 | SSL v3 foi uma versão de actualização da versão anterior do SSL v2.0 que corrigiu poucas falhas de design de segurança do SSL v2.0 No entanto, o SSL v3.0 foi considerado inseguro em 2004 devido ao ataque POODLE. |
Um breve sobre TLS
TLS significa Transport Layer Security, que é um sucessor do protocolo criptográfico do SSL 3.0, que foi lançado em 1999.
TLS 1.0 | TLS 1.0 que foi actualizado do SSL v.3.0 lançado em Janeiro de 1999, mas permite o downgrade da ligação ao SSL v.3.0. |
TLS 1.1 | Depois disso, o TLS v1.1 foi lançado em Abril de 2006, que foi uma actualização da versão TLS 1.0. Adicionou protecção contra ataques de CBC (Cipher Block Chaining). Em Março de 2020, Google, Apple, Mozilla e Microsoft anunciaram a desvalorização da versão TLS 1.0 e 1.1. |
TLS 1.2 | TLS v1.2 foi lançado em 2008 que permite a especificação do hash e algoritmo utilizado pelo cliente e pelo servidor. Permite a encriptação autenticada, que foi acrescentada mais suporte com modos de dados extra. O TLS 1.2 foi capaz de verificar o comprimento dos dados com base no conjunto de cifras. |
TLS 1.3 | TLS v1.3 foi lançado em Agosto de 2018 e tinha características principais que o diferenciavam da sua versão anterior TLS v1.2 como a remoção do suporte MD5 e SHA-224, requerem assinatura digital quando a configuração anterior foi utilizada, uso obrigatório do sigilo de encaminhamento Perfect em caso de troca de chaves com base em chaves públicas, as mensagens de aperto de mão serão agora encriptadas após o “Server Hello”. |
Diferenças entre SSL e TLS
No entanto, as diferenças entre SSL e TLS são muito pequenas. De facto, apenas uma pessoa técnica será capaz de detectar as diferenças. As diferenças notáveis incluem:
Suítes de cifras
ProtocoloSSL oferece suporte para a suite de cifras Fortezza. O TLS não oferece apoio. TLS segue um melhor processo de padronização que facilita a definição de novas séries de cifras como RC4, Triple DES, AES, IDEA, etc.
Mensagens de alerta
SSL tem a mensagem de alerta “Sem certificado”. O protocolo TLS remove a mensagem de alerta e substitui-a por várias outras mensagens de alerta.
Protocolo de gravação
SSL usa o Código de Autenticação de Mensagem (MAC) após a encriptação de cada mensagem enquanto o TLS, por outro lado, usa HMAC – um código de autenticação de mensagem baseado em hash após cada encriptação de mensagem.
Processo de aperto de mão
Em SSL, o cálculo do hash também inclui o segredo principal e o bloco, enquanto em TLS, os hashes são calculados sobre a mensagem de aperto de mão.
Message Authentication
SSL autenticação de mensagem adjunta aos detalhes chave e dados de aplicação de forma ad-hoc enquanto a versão TLS se baseia no HMAC Hash-based Message Authentication Code.
Estas são essencialmente as diferenças entre um certificado SSL e TLS. Como mencionei anteriormente, é preciso um olho treinado para compreender as diferenças.
In nutshell, SSL is obsolete and TLS is new name of older SSL protocol as modern encryption standard using by everybody. Technically, TLS is more accurate, but everyone knows SSL.
Poucas considerações do protocolo TLS
- Impede os intrusos de adulterar os passes de comunicação entre o servidor e o utilizador.
- Impede também os intrusos de ouvir a comunicação do servidor.
- TLS adiciona latência ao tráfego do sítio.
- TLS utiliza encriptação assimétrica para o estabelecimento de ligações, então, permite a encriptação simétrica para o cliente e o servidor para uma ligação mais rápida.
- Com a adição de HTTP/2, TLS torna a ligação mais rápida.
Finalmente, precisa de um certificado SSL/TLS?
Se olhar para o certificado SSL versus certificado TLS, ambos realizam a mesma tarefa de encriptação da troca de dados. O TLS era uma versão actualizada e segura do SSL. No entanto, os certificados SSL que estão abundantemente disponíveis na Internet servem o mesmo propósito de proteger o seu website. De facto, ambos oferecem aos websites a mesma barra de endereços HTTPS que passaram a ser reconhecidos como o símbolo distintivo da segurança online.