TLS vs. SSL: qual è la differenza e come funziona

Transport Layer Security (TLS) è l'ultima versione del protocollo Secure Socket Layer (SSL). Entrambi i protocolli garantiscono la privacy e l'autenticità dei dati su Internet. Questi protocolli ampiamente utilizzati forniscono sicurezza end-to-end applicando la crittografia per le comunicazioni basate sul Web. Tuttavia, nonostante le somiglianze di TLS e SSL, presentano anche differenze significative.

Questo articolo spiega come funzionano i protocolli di crittografia TLS e SSL, la loro importanza, come differiscono e perché è il momento giusto per passare al protocollo TLS.

Il contesto storico di TLS e SSL

Pubblicata la Internet Engineering Task Force (IETF), l'organizzazione responsabile dello sviluppo di standard Internet Richiesta di commenti (RFC-1984), riconoscendo l'importanza della protezione dei dati personali nella crescente Internet. La Netscape Communication Corporation ha introdotto SSL per proteggere la comunicazione web che ha subito più aggiornamenti.

La versione SSL 1.0 non è mai stata rilasciata a causa di problemi di sicurezza e SSL 2.0 è stata la prima versione pubblica di Netscape nel 1995. Tuttavia, a causa di vulnerabilità e svantaggi della sicurezza, è stato sostituito da un'altra versione SSL 3.0 nel novembre 1996. Anche l'ultima versione SSL non è in uso a causa della sua insicurezza contro il

POODLE attacco nell'ottobre 2014 ed è stato ufficialmente ritirato nel giugno 2015.

TLS è stato rilasciato nel 1999 come protocollo indipendente dall'applicazione: un aggiornamento a SSL versione 3.0 effettuato da Internet Engineering Task Force (IETF). L'idea era quella di implementare TLS su TCP per crittografare le applicazioni utilizzando i protocolli FTP, IMAP, SMTP e HTTP. Per esempio, HTTPS è una versione sicura di HTTP poiché implementa TLS per garantire la consegna sicura dei dati evitando alterazioni del contenuto e intercettazioni.

Funzionamento di base dei protocolli TLS/SSL

La comunicazione tra le parti (ad es. il browser del tuo computer e un sito Web) inizia identificando se lo è incorporerà o meno il protocollo TLS/SSL, in modo tale che il client possa specificare l'uso della crittografia TLS di:

• Specificare una porta che supporta la crittografia della comunicazione SSL o
• Effettuando richieste specifiche del protocollo TLS

Intanto, un sito Web richiede un certificato TLS/SSL installato sul suo server di hosting per utilizzare il protocollo. Una terza parte fidata emette il certificato che associa la chiave pubblica al dominio che possiede la chiave privata e gli consente di crittografare/decrittografare la comunicazione.

Dopo aver accettato di utilizzare TLS/SSL per la comunicazione client-server, procede all'esecuzione dell'handshake. L'handshake stabilisce le specifiche richieste per lo scambio di messaggi. La sezione seguente riassume la serie di scambi di informazioni per abilitare la connessione TLS/SSL:

1. Le parti concordano quindi sulla versione del protocollo che utilizzeranno
2. Decide quindi gli algoritmi crittografici o la suite di crittografia da utilizzare
3. Autentica le parti comunicanti con la loro chiave pubblica e le firme digitali dell'autorità di certificazione emittente, quindi
4. Scambia le chiavi di sessione da utilizzare durante la comunicazione. Sia i protocolli TLS che SSL utilizzano la crittografia asimmetrica per generare chiavi condivise (pubbliche) e private.

Se il browser non può convalidare il certificato TLS/SSL, restituisce un errore di "Connessione non privata".

Dopo aver stabilito il metodo di decrittazione durante l'handshake, il protocollo di registrazione utilizza la crittografia simmetrica per la comunicazione per l'intera sessione. Inoltre, il protocollo di registrazione aggiunge anche il messaggio con HMAC per TLS e MAC per SSL per garantire l'integrità dei dati.

Pertanto, i protocolli raggiungono tre obiettivi fondamentali di sicurezza:

• Riservatezza: Crittografa i dati per nasconderli a terzi in modo che solo il destinatario previsto possa visualizzare il contenuto.
• Integrità: Applica il codice di autenticazione del messaggio per verificare il contenuto del messaggio crittografato.
• Autenticazione: Autentica l'identità del sito Web/client/server con l'aiuto di un certificato per garantire che le parti che scambiano informazioni non possano sottrarsi alla propria identità.

Qual è la differenza tra TLS e SSL?

Come accennato in precedenza, la principale differenza che si nota tra i due protocolli è il modo in cui stabiliscono le connessioni. L'handshake TLS utilizza un modo implicito per stabilire una connessione tramite un protocollo, mentre SSL effettua connessioni esplicite con una porta.

Indipendentemente da tutte le altre differenze, la caratteristica fondamentale che differenzia entrambe le connessioni TLS/SSL è l'utilizzo di una suite di crittografia che decide la sicurezza complessiva della connessione.

La parte essenziale di una connessione TLS/SSL è concordare una suite di crittografia che definisce un insieme di algoritmi per lo scambio di chiavi, autenticazione, crittografia di massa e un codice di autenticazione del messaggio basato su hash (HMAC) o algoritmi del codice di autenticazione del messaggio, eccetera. per una particolare sessione. Ciascuna versione TLS/SSL supporta un diverso set di suite di crittografia per la sessione di comunicazione. Pertanto, ogni suite di crittografia supporta il proprio set di algoritmi che migliora la sicurezza e le prestazioni complessive della connessione.

SSL	TLS
SSL è un protocollo complesso da implementare.	TLS è un protocollo più semplice.
SSL ha tre versioni, di cui SSL 3.0 è l'ultima.	TLS ha quattro versioni, di cui la versione TLS 1.3 è l'ultima
Tutte le versioni del protocollo SSL sono vulnerabili agli attacchi.	Il protocollo TLS offre un'elevata sicurezza.
SSL utilizza un codice di autenticazione del messaggio (MAC) dopo la crittografia del messaggio per l'integrità dei dati	TLS utilizza un codice di autenticazione del messaggio basato su hash nel suo protocollo di registrazione.
SSL utilizza il digest dei messaggi per creare un segreto principale.	TLS utilizza una funzione pseudo-casuale per creare un segreto principale.

Perché TLS ha sostituito SSL?

La crittografia TLS è ora una pratica standard per proteggere le applicazioni Web oi dati in transito da intercettazioni e manomissioni. Non è realistico presumere che TLS sia il protocollo più sicuro poiché è stato soggetto a violazioni come Crime e Heartbleed nel 2012 e 2014, ma ha mostrato molti miglioramenti in termini di prestazioni e sicurezza.

TLS sta sostituendo SSL e quasi tutte le versioni SSL sono ora deprecate a causa delle sue vulnerabilità note. Google Chrome è uno di questi esempi che ha smesso di utilizzare la versione SSL 3.0 nel 2014 e la maggior parte dei browser Web moderni non supporta affatto SSL.

Usa TLS per la comunicazione crittografata

TLS aiuta a proteggere le informazioni sensibili in transito come i dettagli della carta di credito, le e-mail, il voice over IP (VOIP), il trasferimento di file e le password. Anche se entrambi i certificati svolgono l'attività di crittografia dei dati in transito, differiscono per funzionalità e non sono interoperabili.

È importante notare che TLS è indicato come SSL solo perché SSL è la terminologia più comunemente utilizzata e la presenza di un certificato non garantisce l'uso del protocollo TLS. Inoltre, non devi preoccuparti di modificare i certificati da SSL a TLS poiché tutto ciò che devi fare è installare il certificato sul server poiché supporta entrambi i protocolli e decide quale utilizzare.

7 motivi per cui il tuo sito ha bisogno di un certificato SSL

Non importa se stai sviluppando un blog modesto o un sito eCommerce completo: hai bisogno di un certificato SSL. Ecco alcuni motivi pratici per cui.

Leggi Avanti

Circa l'autore