Image credit: zviray
L’epidemia cronica di cecità facciale che colpisce la popolazione di Metropolis e impedisce loro di rendersi conto che Clark Kent e il maledetto alieno volante che gli assomiglia sono in realtà la stessa persona si estende al settore tecnologico dove si discute continuamente su quanto sia pedante la differenza tra “SSL” e “TLS”.
Prendi l’EBook gratuito di Pen Testing degli ambienti Active Directory
Ad essere onesti, la situazione è meno un “SSL viene dalla Terra” e “TLS viene da Krypton” che una storia molto positiva di come gli standard di crittografia sono stati continuamente migliorati e come i metodi obsoleti e insicuri di comunicazione client e server sono stati deprecati per aumentare la sicurezza generale di Internet.
Che cos’è SSL?
Netscape ha sviluppato la versione 1.0 del protocollo Secure Sockets Layer (SSL) più di 20 anni fa in modo che le persone potessero usare il loro browser per navigare in sicurezza su Geocities e condividere l’arte ASCII di Star Trek in modo sicuro.
Come tutti i primi tentativi di spedizione di crittografia pratica, le versioni SSL dalla 1.0 alla 3.0 hanno riscontrato alcuni problemi di sicurezza che hanno reso necessari rilasci iterativi di progetti sempre più sicuri.
Che cos’è TLS?
Nel 1999, è stata rilasciata la versione 1.0 del protocollo Transport Layer Security (TLS). Il cambio di nome aveva lo scopo di chiarire che si trattava di uno standard aperto che qualsiasi azienda o progetto poteva incorporare e non di un prodotto proprietario di Netscape (che all’epoca vendeva ancora il software server web “Netscape Enterprise Server” che usava “SSL” per la crittografia del trasporto). Inoltre, TLS è stato progettato per essere indipendente dal protocollo dell’applicazione, mentre SSL è stato inizialmente progettato abbastanza strettamente per le sole connessioni HTTP.
Che cosa devo dire?
Linguisticamente, il termine “SSL” ha vinto nella guerra di “Come dovremmo chiamare la cosa che fa apparire il lucchetto ed è verde? Come prova, vedi il confronto di Google Trends di “SSL vs TLS”.
Per questo motivo, ogni volta che si parla del concetto generale – o quando si cerca di spiegarlo a un pubblico non tecnico – “SSL” diventa il termine generico comunemente accettato, perché è molto probabilmente quello di cui hanno sentito parlare e i benefici di una comunicazione concettuale chiara sono di solito fondamentali.
Quando si parla del protocollo e di quali versioni di SSL/TLS dovrebbero essere abilitate, “TLS” è per forza di cose preferibile in quanto la versione esatta è importante a causa dei cambiamenti nel modo in cui vengono gestiti i cifrari, ecc.
A livello pratico, tuttavia, ci sono significativi benefici amministrativi e di sicurezza nel sapere:
- che esistono diverse versioni di SSL/TLS.
- che i sistemi più vecchi non possono connettersi a quelli più recenti se c’è una discrepanza di protocollo. Se vi siete mai chiesti perché Internet Explorer su una nuova installazione di Windows 95 non può connettersi a siti HTTPS, ecco la risposta.
- Che dovreste avere una politica organizzativa di abilitare solo le versioni successive di TLS. (TLS 1.0 non è accettabile per la conformità PCI)
- Che molti dispositivi e applicazioni supportano ancora versioni più vecchie e insicure di TLS/SSL che è necessario disabilitare specificamente.
In definitiva, la domanda “qual è la differenza tra SSL e TLS?” è un’ottima domanda, anche solo per discutere questi punti pratici e portare a casa il motivo per cui i punti più fini dei protocolli di sicurezza contano.