Conheça TLS e SSL: dois protocolos projetados para autenticação segura e segura e transporte de dados online. Um é melhor que o outro? E se sim, por quê?
Neste guia detalhado, exploraremos as diferenças mais importantes entre os dois protocolos, como eles podem se conectar ao HTTPS de maneira eficaz e por que os usuários finais podem não necessariamente ter que se preocupar com a diferença. também Muito de.
TLS x SSL: entendendo as diferenças e semelhanças
Transport Layer Security (TLS) e Secure Socket Layers (SSL) são protocolos criptográficos criados para transportar dados da Internet com segurança, criptografando-os e autenticando conexões.
Por que isso importa? Digamos que você queira que seu site lide com transações com cartão de crédito, mas se preocupe com os riscos de segurança. Bem, com TLS e SSL, você pode ter certeza de que os dados serão processados com segurança sem acesso de usuários não autorizados.
Mas como o TLS e o SSL são diferentes? Para começar, o TLS é uma versão mais atualizada do SSL e corrigiu vários pontos fracos de segurança encontrados nos protocolos SSL anteriores. Vejamos os antecedentes dos protocolos.
A versão 2.0 do SSL foi lançada em fevereiro de 1995. Para ser justo, a primeira versão nunca chegou ao público devido a suas vulnerabilidades de segurança. E enquanto o SSL 2.0 fez fosse lançado, ele ainda tinha problemas de segurança – e é por isso que o SSL 3.0 veio para substituí-lo em 1996.
O TLS 1.0 chegou em 1999, lançado como uma atualização do SSL 3.0. Nos anos seguintes, mais três versões do TLS foram lançadas, incluindo o TLS 1.3 em 2018 (a versão mais recente).
No momento da redação deste artigo, ambas as versões do SSL tinham várias falhas de segurança e foram obsoletas — abordaremos isso mais adiante neste artigo.
Antes de prosseguirmos, aqui está uma rápida linha do tempo dos lançamentos dos protocolos:
- SSL 1.0: Vulnerabilidades de segurança impediram sua divulgação ao público.
- SSL 2.0: Lançado em 1995, mas com problemas de segurança conhecidos. Foi reprovado em 2011.
- SSL 3.0: Lançado em 1996, mas obsoleto em 2015. Conhecido por ter falhas de segurança.
- TLS 1.0: Lançado como uma atualização SSL 3.0 em 1999 e obsoleto em 2021.
- TLS 1.1: Lançado em 2006 e obsoleto em 2021.
- TLS 1.2: Lançado em 2008.
- TLS 1.3: Lançado em 2018.
Como o TLS e o SSL mantêm os dados online seguros
Nesta seção, esclareceremos como o TLS e o SSL funcionam para proteger os dados com eficiência.
Qualquer certificado SSL/TLS (geralmente chamado de “certificado SSL”) instalado em seu servidor web vem com uma chave privada e uma chave pública. Eles não apenas autenticam o servidor, mas também permitem que seu servidor criptografe e descriptografe dados com eficiência.
Cada vez que um visitante navega em seu site, o navegador pesquisará seu certificado SSL/TLS, verificará a validade do certificado e autenticará o servidor (um processo conhecido como “aperto de mão”). Se o navegador determinar que o certificado é inválido, os usuários provavelmente receberão uma mensagem de erro avisando que sua conexão “não é privada”. E isso pode afugentá-los de seu site para outro.
Mas quando um navegador confirma que seu certificado é válido e o servidor é autenticado, que basicamente forja um link criptografado e permite que o servidor entregue os dados de maneira segura. É por isso que o HTTPS aparece nas barras de endereço, que significa HTTP sobre SSL/TLS.
Tanto o HTTP quanto o atualizado HTTP/2 protocolos de aplicação desempenham um papel crítico na transferência segura de dados na Internet. Infelizmente, esses dados correm o risco de serem atacados e interceptados quando o HTTP simples é usado. No entanto, com HTTPS, os dados são criptografados e autenticados enquanto estão em trânsito, mantendo-os totalmente protegidos.
Assim, você pode pagar produtos online com seu cartão de crédito com segurança se um site tiver HTTPS em sua barra de endereços, mas não se usar apenas HTTP. Sem surpresa, o Google Chrome tem incentivado a adoção generalizada de HTTPS para garantir que todos estejam protegidos.
Certificados SSL e depreciação SSL
Cobrimos que o TLS é a encarnação mais atualizada do SSL e que ambas as versões lançadas publicamente foram obsoletas por vários anos devido a suas falhas de segurança. E, com isso em mente, você pode se perguntar por que o termo comum é “certificado SSL” em vez de “certificado TLS”? É uma pergunta justa, principalmente quando as últimas atualizações de segurança protocolo é TLS.
A principal razão pela qual a maioria das pessoas usa continuamente o termo certificados SSL se deve à marca: a maioria dos maiores provedores de certificados descreve seus certificados como SSL, e isso se tornou a norma para todos os outros. É simples assim.
Todos esses certificados SSL anunciados online são na verdade certificados SSL/TLS, e você pode utilizar SSL e protocolos TLS com os seus. Portanto, você não precisa se preocupar em trocar seu certificado SSL por um TLS.
O TLS ou SSL é adequado para você? O SSL será ultrapassado pelo TLS?
Vamos simplificar: sim, SSl é sendo substituído por TLS. E sim, você devemos escolha TLS sobre SSL.
As duas versões públicas do SSL foram obsoletas principalmente por causa dos pontos fracos conhecidos em sua segurança. É por isso que o SSL não é um protocolo totalmente seguro e confiável.
Felizmente, TLS é seguro, pois é a versão mais atualizada do SSL, e as versões mais recentes do TLS oferecem várias melhorias. Outro ponto a considerar é que a maioria dos navegadores populares hoje deixou de oferecer suporte a SSL 2.0 e 3.0.
O Google Chrome, por exemplo, encerrou o suporte para SSL 3.0 em meados da década de 2010, e os maiores navegadores pararam de oferecer suporte a TLS 1.0 e 1.1. O Google Chrome até começou a apresentar alertas ERR_SSL_OBSOLETE_VERSION para proteger os usuários contra riscos de segurança.
Claramente, é essencial usar as versões mais recentes do TLS em vez de protocolos desatualizados e potencialmente arriscados. Mas como você tem certeza disso?
Para começar, tenha em mente este ponto: seu certificado é não o mesmo que o protocolo usado pelo seu servidor. Você não é obrigado a trocar seu certificado para utilizar TLS e, embora possa ser rotulado como um certificado SSL, seu certificado vontade oferecem suporte para ambos os protocolos.
A verdade é, vocês tenha controle no nível do servidor sobre o protocolo usado pelo seu site — você pode aproveitar a ferramenta SSL Labs para descobrir quais protocolos estão em vigor para o seu site.
O que você pode fazer se descobrir que seu servidor está ainda suporta os protocolos SSL obsoletos? Basta entrar em contato com o suporte do seu host e pedir ajuda.
Quais são os benefícios de ter mais de um protocolo TLS ativado?
Você pode descobrir que seu servidor oferece os protocolos TLS 1.3 e 1.2. Por que eles fariam isso?
Por um bom motivo. Lembre-se: o handshake SSL/TLS consiste em dois componentes: o servidor web e o cliente (por exemplo, o navegador do usuário). Ambos os componentes deve oferecem suporte para o mesmo protocolo para concluir o aperto de mão corretamente. Portanto, esse é o bom motivo para ter vários protocolos ativados — compatibilidade.
Em 2018, quando o TLS 1.3 foi lançado, o Firefox e o Chrome implementaram suporte para ele praticamente imediatamente. Mas a Microsoft e a Apple demoraram um pouco mais. E no ano seguinte, vários navegadores ainda não tinham suporte para TLS 1.3, como Opera, Internet Explorer e Samsung Internet.
Felizmente, porém, todos os principais navegadores ofereciam suporte a TLS 1.2 na época, portanto, ter os dois protocolos ativados em um servidor garantia uma compatibilidade confiável. Isso forneceria uma experiência de usuário mais positiva e confiável.
Conclusão
Em resumo, sabemos que os protocolos SSL e TLS criptografam e autenticam a transferência de dados online. Eles compartilham uma conexão estreita, mas o TLS é simplesmente uma versão mais segura e atualizada do SSL.
SSL continua sendo o principal termo usado online, mas as pessoas geralmente querem dizer TLS quando se referem a SSL, pois ambas as versões de SSL lançadas ao público são inseguras e foram obsoletas por algum tempo. Não há necessidade de alterar seu certificado SSL para um TLS – ele suportará TLS e SSL.
É vital que você aproveite as versões mais recentes do TLS, pois o SSL não é mais seguro; no entanto, seu certificado não determinará qual protocolo é usado pelo seu servidor. Em vez disso, você pode selecionar o protocolo a ser usado como um nível de servidor após instalar seu certificado.