Correios

Pode estar a ouvir cada vez mais sobre SSL e TLS nas notícias, ultimamente. Estes termos estão a ser utilizados por empresas como o Google para sensibilizar mais pessoas para a sua importância ao navegar (estou a falar de si, Chrome).

Há uma distinção marcada entre SSL e TLS. Dois protocolos encriptam os dados enviados através da Internet. Estes protocolos são objectivos para os criptógrafos, peritos em segurança de redes, e programadores que desejam estabelecer ligações encriptadas entre um servidor web e navegadores.

O que são SSL e TLS?

Uma ligação segura é encriptada. A encriptação protege os dados que envia e recebe para que qualquer outra pessoa não os possa ler.

Existem dois tipos de encriptação: SSL e TLS. Cada um tem os seus prós e contras, mas ambos proporcionam uma ligação segura.

SSL, ou Transport Layer Security, é um protocolo criptográfico que proporciona segurança nas comunicações através de uma rede informática. Protege a integridade e a confidencialidade dos dados, utilizando a encriptação.

O TLS, ou Transport Layer Security, é um padrão para uma comunicação segura através da Internet. Permite que aplicações cliente/servidor comuniquem através de uma rede de uma forma concebida para evitar a escuta e a adulteração de informação.

Porque precisa de um certificado SSL/TLS?

Os certificados SSL/TLS encriptam os dados enviados entre o seu website e os seus utilizadores. Qualquer informação que envie é segura e não visível a outros. Isto é vital para proteger informação sensível, como números de cartões de crédito, palavras-passe, e outros dados.

Sem um certificado SSL/TLS, qualquer pessoa na mesma rede do seu website pode interceptar o tráfego entre o seu servidor e os navegadores web do seu utilizador. Isto pode permitir-lhes ver todas as informações trocadas e até alterá-las antes de as enviar pelo seu caminho.

Diferença entre SSL e TLS

TLS e SSL fornecem autenticação segura e transmissão de dados através da Internet. Mas como é que o TLS e o SSL diferem um do outro? Precisa de se preocupar com isso?

SSL

TLS

O SSL significa Secure Sockets Layer (Camada de Tomadas Seguras),  TLS significa Transport Layer Security (Segurança da Camada de Transporte).
A Netscape criou o SSL em 1995. A Internet Engineering Taskforce (IETF) desenvolveu o TLS pela primeira vez em 1999.
Tem três versões:

  • SSL 1.0
  • SSL 2.0,
  • SSL 3.0.
Tem quatro versões:

  • TLS 1.0
  • TLS 1.1
  • TLS 1.2
  • TLS 1.3
Em todas as versões do SSL, foram encontradas vulnerabilidades, e todas foram depreciadas.  A partir de Março de 2020, o TLS 1.0 e 1.1 deixará de ser suportado.

Na maioria dos casos, é utilizado o TLS 1.2.

Um servidor web e um cliente comunicam em segurança utilizando SSL, um protocolo criptográfico que utiliza ligações explícitas. Usando TLS, o servidor e o cliente podem comunicar de forma segura através de ligações implícitas. O TLS substituiu o SSL.

Algumas outras grandes diferenças no funcionamento do SL e do TLS são as seguintes:

Autenticação de mensagens

Uma diferença principal entre SSL e TLS é a autenticação de mensagens. O SSL utiliza códigos de autenticação de mensagens (MACs) para assegurar que as mensagens não são adulteradas durante a transmissão. O TLS não utiliza os MACs para protecção mas, em vez disso, depende de outros meios, tais como a encriptação, para impedir a adulteração.

Protocolo de Registo

O Protocolo de Registo é a forma como os dados são transportados através de um canal de comunicações seguro tanto em TLS como em SSL, mas tem algumas pequenas diferenças. No TLS, apenas um registo pode ser levado por pacote, enquanto no SSL, podem ser transportados múltiplos registos por pacote (embora isto raramente tenha sido implementado).

Além disso, algumas características do Protocolo de Registo de TLS não estão incluídas no SSL, tais como opções de compressão e acolchoamento.

Suítes de cifra

O TLS suporta vários conjuntos de cifras, que são algoritmos utilizados para encriptação e decifragem. O conjunto de cifras mais conhecido é a efémera troca de chaves Diffie-Hellman (DHE) baseada em curvas elípticas, que fornece um segredo avançado perfeito (PFS) e pode ser usado com qualquer comprimento de chave. Alguns outros conjuntos de cifras suportam PFS mas são menos utilizados. O SSL suporta apenas um conjunto de cifras com PFS, que usa uma chave RSA de 1024 bits.

Mensagens de Alerta

O protocolo SSL utiliza mensagens de alerta para informar o cliente ou o servidor sobre um erro específico durante a comunicação. O protocolo TLS não dispõe de qualquer mecanismo equivalente.

Em resumo, o SSL já não é utilizado, e TLS é o novo termo para o antigo protocolo SSL como um padrão de encriptação actual utilizado por todos. Embora o TLS seja tecnicamente mais preciso, o SSL é amplamente utilizado.

Porque é que a TLS substituiu o SSL?

Para proteger as aplicações em linha ou os dados em trânsito contra escuta e alteração, a encriptação TLS é agora um procedimento de rotina. A TLS tem sido vulnerável a violações como Crime e Heartbleed em 2012 e 2014. Embora tenha demonstrado avanços significativos em eficiência e segurança, é irrealista acreditar que é o protocolo mais seguro.

Christopher Allen e Tim Dierks, do Desenvolvimento do Consenso, criaram o protocolo TLS 1.0, uma melhoria em relação ao SSL 3.0.

Embora a mudança de nome implique uma diferença substancial entre os dois, não havia muitos.

De acordo com Dierks, a Microsoft mudou o seu nome para salvar a face. Ele afirmou:

Para evitar dar a impressão de que a IETF estava a endossar o protocolo da Netscape, tivemos de rebrandar a marca SSL 3.0 como parte do comércio de cavalos (pela mesma razão). E assim, foi criado o TLS 1.0 (que era SSL 3.1). Claro que, olhando para trás, toda a situação parece ridícula.

O SSL está a ser substituído por TLS, e praticamente todas as versões SSL foram consideradas obsoletas devido a falhas de segurança documentadas. Um exemplo é o Google Chrome, que deixou de utilizar o SSL 3.0 em 2014. A maioria dos browsers online contemporâneos não suportam de todo o SSL.

Porquê substituir os seus certificados SSL por certificados TLS?

A principal razão para substituir o seu actual Certificados SSL com novos certificados TLS é que são incompatíveis uns com os outros - utilizam protocolos e algoritmos diferentes. Isto significa que qualquer navegador ou aplicação cliente que utilize um protocolo não será capaz de se ligar com segurança a um servidor utilizando o outro protocolo sem que sejam feitas alterações explícitas de configuração em ambos os lados da ligação.

Palavras finais

Ambos os certificados SSL e TLS fornecem a mesma função de encriptação do fluxo de dados se os compararmos. Uma versão melhorada e mais segura do SSL era a TLS. No entanto, os certificados SSL, que estão amplamente disponíveis online, têm a mesma função de proteger o seu website. Na realidade, ambos fornecem a barra de endereços HTTPS, que veio a ser reconhecida como a característica distintiva da segurança online.

Enquanto SSL e TLS protegem o seu website de uso não autorizado, DMARC protege o seu domínio de correio electrónico contra a imitação. DMARC é um padrão de autenticação de correio electrónico que lhe permite tomar medidas contra e-mails enviados de fontes não autorizadas que imitam o seu nome de domínio.

Iniciando o seu caminho em direcção a Aplicação do DMARC com PowerDMARC permitir-lhe-á governar plenamente o seu domínio, adquirir visibilidade nos seus canais de correio electrónico ao ritmo mais rápido do mercado, e fazer uma transição segura para políticas mais rigorosas!