Messaggi

Ultimamente si sente parlare sempre più spesso di SSL e TLS. Questi termini vengono utilizzati da aziende come Google per sensibilizzare il pubblico sulla loro importanza durante la navigazione (sto parlando di te, Chrome).

Esiste una netta distinzione tra SSL e TLS. Si tratta di due protocolli che criptano i dati inviati su Internet. Questi protocolli sono obiettivi per crittografi, esperti di sicurezza di rete e sviluppatori che desiderano stabilire collegamenti criptati tra un server Web e i browser.

Cosa sono SSL e TLS?

Una connessione sicura è crittografata. La crittografia protegge i dati inviati e ricevuti in modo che nessun altro possa leggerli.

Esistono due tipi di crittografia: SSL e TLS. Ognuno ha i suoi pro e i suoi contro, ma entrambi garantiscono una connessione sicura.

SSL, o Transport Layer Security, è un protocollo crittografico che garantisce la sicurezza delle comunicazioni su una rete di computer. Protegge l'integrità e la riservatezza dei dati utilizzando la crittografia.

TLS, o Transport Layer Security, è uno standard per la comunicazione sicura su Internet. Consente alle applicazioni client/server di comunicare in rete in modo da impedire l'intercettazione e la manomissione delle informazioni.

Perché è necessario un certificato SSL/TLS?

I certificati SSL/TLS criptano i dati inviati tra il vostro sito web e i vostri utenti. Tutte le informazioni inviate sono sicure e non visibili ad altri. Questo è fondamentale per proteggere informazioni sensibili come numeri di carte di credito, password e altri dati.

Senza un certificato SSL/TLS, chiunque si trovi sulla stessa rete del vostro sito web può intercettare il traffico tra il vostro server e i browser web dei vostri utenti. Ciò potrebbe consentire di vedere tutte le informazioni scambiate e persino di modificarle prima di inviarle.

Differenza tra SSL e TLS

TLS e SSL garantiscono l'autenticazione e la trasmissione sicura dei dati su Internet. Ma quali sono le differenze tra TLS e SSL? È necessario preoccuparsi?

SSL

TLS

SSL sta per Secure Sockets Layer,  TLS è l'acronimo di Transport Layer Security.
Netscape ha creato l'SSL nel 1995. La Internet Engineering Taskforce (IETF) ha sviluppato TLS per la prima volta nel 1999.
Ha tre versioni:

  • SSL 1.0
  • SSL 2.0,
  • SSL 3.0.
Ha quattro versioni:

  • TLS 1.0
  • TLS 1.1
  • TLS 1.2
  • TLS 1.3
In tutte le versioni di SSL sono state riscontrate vulnerabilità e tutte sono state deprecate.  A partire da marzo 2020, TLS 1.0 e 1.1 non saranno più supportati.

Nella maggior parte dei casi si utilizza TLS 1.2.

Un server Web e un client comunicano in modo sicuro utilizzando SSL, un protocollo crittografico che utilizza connessioni esplicite. Utilizzando TLS, il server Web e il client possono comunicare in modo sicuro tramite connessioni implicite. TLS ha sostituito SSL.

Altre differenze importanti nel funzionamento di SL e TLS sono le seguenti:

Autenticazione del messaggio

La differenza principale tra SSL e TLS è l'autenticazione dei messaggi. SSL utilizza i codici di autenticazione dei messaggi (MAC) per garantire che i messaggi non vengano manomessi durante la trasmissione. TLS non utilizza i MAC per la protezione, ma si affida ad altri mezzi, come la crittografia, per impedire la manomissione.

Protocollo di registrazione

Il protocollo Record è il modo in cui i dati vengono trasportati su un canale di comunicazione sicuro sia in TLS che in SSL, ma presenta alcune differenze minori. In TLS è possibile registrare un solo record per pacchetto, mentre in SSL è possibile trasportare più record per pacchetto (sebbene ciò sia stato implementato raramente).

Inoltre, alcune caratteristiche del protocollo Record di TLS non sono incluse in SSL, come le opzioni di compressione e padding.

Suite di cifratura

TLS supporta diverse suite di cifratura, che sono algoritmi utilizzati per la crittografia e la decrittografia. La suite di cifratura più nota è lo scambio di chiavi effimero Diffie-Hellman (DHE) basato su curve ellittiche, che fornisce una perfetta segretezza in avanti (PFS) e può essere utilizzato con qualsiasi lunghezza di chiave. Alcune altre suite di cifratura supportano la PFS, ma sono meno diffuse. SSL supporta solo una suite di cifratura con PFS, che utilizza una chiave RSA a 1024 bit.

Messaggi di avviso

Il protocollo SSL utilizza messaggi di avviso per informare il client o il server di un errore specifico durante la comunicazione. Il protocollo TLS non dispone di un meccanismo equivalente.

In poche parole, SSL non è più in uso e TLS è il nuovo termine per indicare l'antiquato protocollo SSL come standard di crittografia correntemente utilizzato da tutti. Sebbene TLS sia tecnicamente più preciso, SSL è ampiamente utilizzato.

Perché TLS ha sostituito SSL?

Per proteggere le applicazioni online o i dati in transito da intercettazioni e alterazioni, la crittografia TLS è ormai una procedura di routine. TLS è stato vulnerabile a violazioni come Crime e Heartbleed nel 2012 e 2014. Sebbene abbia dimostrato progressi significativi in termini di efficienza e sicurezza, non è realistico credere che sia il protocollo più sicuro.

Christopher Allen e Tim Dierks di Consensus Development hanno creato il protocollo TLS 1.0, un miglioramento dell'SSL 3.0.

Anche se il cambio di nome implica una differenza sostanziale tra i due, non ce n'erano molte.

Secondo DierksMicrosoft ha cambiato nome per salvare la faccia. Ha dichiarato:

Per evitare di dare l'impressione che l'IETF stesse appoggiando il protocollo di Netscape, abbiamo dovuto ridenominare SSL 3.0 come parte dell'horsetrading (per lo stesso motivo). Fu così che nacque TLS 1.0 (che era SSL 3.1). Ovviamente, guardando indietro, l'intera situazione sembra ridicola.

L'SSL è stato sostituito da TLS e praticamente tutte le versioni di SSL sono state considerate obsolete a causa di falle di sicurezza documentate. Un esempio è Google Chrome, che ha smesso di utilizzare SSL 3.0 nel 2014. La maggior parte dei browser online contemporanei non supporta affatto l'SSL.

Perché sostituire i certificati SSL con certificati TLS?

Il motivo principale per sostituire i certificati certificati SSL con nuovi certificati TLS è che sono incompatibili tra loro: utilizzano protocolli e algoritmi diversi. Ciò significa che qualsiasi browser o applicazione client che utilizza un protocollo non sarà in grado di connettersi in modo sicuro con un server che utilizza l'altro protocollo senza che vengano apportate modifiche esplicite alla configurazione su entrambi i lati della connessione.

Parole finali

Entrambi i certificati SSL e TLS svolgono la stessa funzione di crittografia del flusso di dati, se li si confronta. Una versione migliorata e più sicura dell'SSL è il TLS. Tuttavia, i certificati SSL, ampiamente disponibili online, hanno la stessa funzione di proteggere il vostro sito web. In realtà, entrambi forniscono la barra dell'indirizzo HTTPS, che è ormai riconosciuta come la caratteristica distintiva della sicurezza online.

Mentre SSL e TLS proteggono il vostro sito web dall'uso non autorizzato, DMARC protegge il vostro dominio e-mail dall'impersonificazione. DMARC è uno standard di autenticazione delle e-mail che consente di intervenire contro le e-mail inviate da fonti non autorizzate che si spacciano per il vostro nome di dominio.

Iniziare il percorso verso applicazione del DMARC con PowerDMARC vi consentirà di governare completamente il vostro dominio, di acquisire visibilità sui vostri canali di posta elettronica al ritmo più rapido del mercato e di passare in tutta sicurezza a politiche più severe!