Sia SSL che TLS sono protocolli che autenticano e trasportano in modo sicuro i vostri dati su Internet. Colloquialmente, TLS è ancora chiamato SSL al giorno d'oggi, anche se SSL è ormai obsoleto. Puoi leggere qui sotto il perché di questo e come SSL e TLS differiscono in realtà.
- SSL e TLS: una breve introduzione
- La differenza tra SSL e TLS
SSL e TLS: una breve introduzione
Sia SSL (Secure Socket Layer) che TLS (Transport Layer Security) sono protocolli crittografici che criptano i tuoi dati in modo che siano trasferiti in modo sicuro su Internet. Per esempio, se elaborate pagamenti con carta di credito sul vostro sito web, i protocolli di crittografia possono essere utilizzati per elaborare i dati in modo sicuro in modo che terzi non possano influenzare il processo. SSL è il predecessore di TLS e non è più lo stato dell'arte. Prima di spiegare le principali differenze tra i protocolli, vi daremo una breve storia.
- SSL 1.0: Mai rilasciato pubblicamente a causa di problemi di sicurezza.
- SSL 2.0: Rilasciato nel 1995. Deprecato dal 2011.
- SSL 3.0: Rilasciato nel 1996. Deprecato dal 2015.
- TLS 1.0: Rilasciato nel 1999 come aggiornamento di SSL 3.0. Deprecato dal 2020.
- TLS 1.1: Pubblicato 2006. Deprecato dal 2020.
- TLS 1.2: Pubblicato 2008.
- TLS 1.3: Pubblicato 2018.
In base alla classificazione, è chiaro che SSL è ormai obsoleto e Transport Layer Security è il protocollo attualmente in uso. Il protocollo TLS mira principalmente a garantire la privacy e l'integrità dei dati tra due o più applicazioni informatiche comunicanti. Tuttavia, SSL è ancora il termine comune al giorno d'oggi, anche se spesso si intende TLS.
La differenza tra SSL e TLS
Quando si stabilisce una connessione tra un client (ad esempio un browser come Google Chrome) e un server (ad esempio heise.de) tramite TLS o SSL, si riconosce da un piccolo simbolo di blocco che si è stabilita una connessione criptata al sito web. Questo processo è chiamato anche stretta di mano. Va notato che SSL e TLS sono solo i protocolli. Ulteriori informazioni per l'autenticazione (come l'impronta digitale unica o l'identità dell'operatore del sito web) possono essere trovate nel cosiddetto certificato.
Quindi SSL e TLS sono la stessa cosa? No, non proprio. Anche se i termini sono usati come sinonimi nel linguaggio comune, TLS è il protocollo più sicuro e un ulteriore sviluppo di SSL. Nel corso degli anni, le vulnerabilità sono state e sono ancora scoperte nei protocolli SSL obsoleti. Ogni nuova versione rilasciata del protocollo viene con i suoi miglioramenti e le sue nuove caratteristiche. La versione 1.0 di SSL non è mai stata rilasciata. La versione 2.0, invece, lo era, ma aveva alcuni grossi difetti. La versione 3.0 di SSL era una riscrittura della versione 2.0 (per affrontare questi difetti - con un successo limitato). Questo è in contrasto con TLS versione 1.0, che è un miglioramento di SSL versione 3.0. Tra TLS 1.0 e 1.1, i cambiamenti sono stati minori. TLS 1.2 ha portato alcuni cambiamenti significativi, e TLS 1.3 ha ottimizzato l'intero processo di crittografia.
Una delle differenze tra i protocolli è il tipo di scambio di chiavi. TLS utilizza il Digital Signature Standard e l'algoritmo Diffie-Hellmann effimero combinato con RSA, che fornisce una migliore protezione contro la decrittazione successiva. SSL utilizza un algoritmo di crittografia più vecchio che potrebbe già essere decifrato dagli attacchi.
Inoltre, SSL e TLS differiscono nel tipo di registrazione del protocollo. SSL usa il Message Authentication Code (MAC) dopo la crittografia, mentre TLS usa HMAC - un codice di autenticazione dei messaggi basato su hash. In breve, usando TLS, i vostri messaggi sono criptati in modo pseudo-casuale, rendendoli più sicuri contro gli attacchi.
Quindi la semplice ragione per cui molti siti web parlano ancora di certificati SSL è fondamentalmente solo una questione di branding. La maggior parte dei principali fornitori di certificati si riferiscono ancora ai certificati come certificati SSL, ed è per questo che la convenzione di denominazione persiste. In conclusione, SSL e TLS sono correlati, ma non sinonimi.
Tip: Se vuoi saperne di più su SSL e certificati emessi, leggi l'articolo correlato.