Na internet existem pessoas mal-intencionadas que cometem fraudes e falsificações na tentativa de interceptar informações como número de contas bancárias, cartão de crédito, dinheiro virtual ou até mesmo informações pessoais.
Para manter os usuários seguros desses tipos de ameaças foram criados serviços para garantir confiabilidade e segurança dos sites.
Os mais conhecidos são o Certificado SSL e TLS que se mostraram produtos robustos, confiáveis e foram muito usados na internet, sendo aprovados por quem fornece o serviço e também pelos usuários.
Mas, afinal…Você sabe qual a diferença entre SSL e TLS? E por que não é usado mais o SSL convencional?
Diferenças entre SSL e TLS
Ambos os protocolos de criptografia fornecem segurança entre a troca de informações da aplicação e o servidor.
A diferença é que o Transport Layer Security 1.0 (TLS) foi criado como sucessor do Secure Socket Layer 3.0 (SSL) e é usado frequentemente como uma configuração para programas de e-mail.
Evolução do SSL e TLS
- SSL V1 – 1994;
- SSL V2 – 1995;
- SSL V3 – 1996;
- TLS 1.0 – 1999;
- TLS 1.1 – 2006;
- TLS 1.2 – 2008;
- TLS 1.3 – 2015.
O TLS tem a capacidade de trabalhar em portas diferentes e usa algoritmos de criptografia mais fortes como o keyed-Hashing for Message Authentication Code (HMAC) enquanto o SSL apenas Message Authentication Code (MAC).
O TLS também pode ser utilizado por uma autoridade intermediária, não sendo necessariamente uma Autoridade de Certificação.
Qual é mais seguro?
No princípio, a primeira versão do protocolo TLS foi apenas ligeiramente mais segura do que o SSL, porém em meados de 2014 foi provado que a geração passada de SSLs eram totalmente inseguras e que era possível quebrar sua criptografia.
Essa vulnerabilidade ficou conhecida como POODLE e com ela outras pessoas poderiam capturar dados transportados pelo SSL, como Cookies e Senhas.
Desse modo qualquer site que ainda utilize as criptografias do SSL ainda está em risco.
Apesar de preocupante, muito antes dessas vulnerabilidades serem descobertas já havia rumores que o SSL estava entrando em desuso.
Desde quando a vulnerabilidade POODLE foi divulgada o TLS passou por atualizações e atualmente está na sua versão 1.3.
Foram corrigidas diversas falhas de segurança e quando comparado ao SSL, o TLS ficou mais seguro.
Mas eu utilizo um Certificado SSL no meu site, será que realmente estou protegido?
Sim você está, mas não se preocupe, continue lendo que eu vou te dizer porquê.
Por que o termo SSL ainda é usado na internet?
O Certificado SSL foi o primeiro termo a ser relacionado a criptografia e seu nome se tornou popular, muito mais do que o TLS.
Basicamente, os dois termos foram incorporados, já que o TLS recebeu características do SSL como criptografia de 256 bits e o tamanho da chave de criptografia de 2048 bits.
Então, muitas vezes quando você está adquirindo um Certificado SSL com essas configurações de criptografia você na verdade está adquirindo um Certificado TLS.
SSL e TLS são a mesma coisa?
Bem, a principio não. Para dizer a verdade o nome SSL continuou popular mesmo depois de ser substituído pelo TLS, a forma de criptografar as informações mudou mas o nome continuou SSL.
O TLS “recebeu” o nome de SSL, pois seria muito complicado tornar o nome TLS popular.
Nesse período o Certificado SSL já estava se tornando um pré-requisito de segurança na internet.
E mesmo que você adquira um Certificado SSL, se ele for superior a versão 3.0, é bem provável que a segurança da conexão esteja sendo processada pela criptografia TLS.
Porém isso só será possível quando o servidor possuir um certificado emitido por uma certificadora terceira como Sectigo, DigiCert, GlobalSign, GeoTrust e Thawte.
O que o Google diz sobre o uso do HTTP
Os alertas do Google para sites não seguros entraram em vigor no início de 2017 e a tendência é que menos sites tenham HTTP.
Quando o usuário estiver navegando em um site HTTP, o que indica uma conexão desprotegida, o Google vai colocar um aviso de “Não Seguro” antes do endereço do site, onde deveria haver o “Cadeado verde”.
Essa informação é muito importante, principalmente para os proprietários de e-commerce, pois é durante as compras online que os usuários estão mais atentos à segurança.
Segundo post do dia 27 de abril de 2017 no blog de segurança do Google, a partir de outubro o Chrome mostrará esse aviso em duas situações adicionais: quando os usuários inserem dados em uma página HTTP e em todas as páginas HTTP visitadas no modo anônimo.
A notícia diz ainda que rotular sites HTTP como não seguro está ocorrendo em etapas graduais, com base em critérios cada vez maiores.
Eventualmente, o Google planeja mostrar o aviso “Não seguro” para todas as páginas sem HTTPS, mesmo fora do modo anônimo.
Verifique a criptografia do seu site
Ainda que o SSL tenha se tornado obsoleto, existe uma grande quantidade de sites que usa esse tipo de criptografia.
Se o certificado do seu site não for de uma das versões mais recentes, considere substitui-lo o quanto antes.
Clique aqui e verifique agora mesmo se a conexão do seu Certificado SSL é segura.
Se o seu site ainda não possui um Certificado SSL e você realmente se preocupa com a segurança dos seus visitantes, transmita mais transparência e credibilidade usando um Certificado SSL para suas páginas.
Se você gostou deste conteúdo, peço que ajude mais pessoas a entender qual a diferença entre SSL e TLS, compartilhando este artigo com seus amigos.
Forte abraço e até a próxima!