Crédito de imagem: zviray
A epidemia crónica de cegueira facial que afecta a população de Metropolis e os impede de se aperceberem que Clark Kent e o maldito extraterrestre voador que se parece mesmo com ele são na realidade a mesma pessoa que se estende ao sector da tecnologia, onde discutimos continuamente o quão pedante é a diferença entre “SSL” e “TLS”.
Get the Free Pen Testing Active Directory Environments EBook
Para ser justo, a situação é menos “SSL é da Terra” e “TLS é de Krypton” do que uma história muito positiva de como os padrões de encriptação têm sido continuamente melhorados e como os métodos desactualizados e inseguros de comunicação cliente e servidor têm sido depreciados para aumentar a segurança geral da Internet.
O que é SSL?
Netscape desenvolveu a versão 1.0 do protocolo Secure Sockets Layer (SSL) há mais de 20 anos, para que as pessoas pudessem usar o seu navegador para navegar em segurança em torno de Geocities e partilhar a arte ASCII do Star Trek em segurança.
Tal como todos os primeiros esforços no envio de criptográficos práticos, as versões SSL 1.0 a 3.0 tiveram alguns problemas de segurança que exigiram lançamentos iterativos de desenhos cada vez mais fundamentalmente seguros.
O que é TLS?
Em 1999, foi lançada a versão 1.0 do protocolo de Segurança da Camada de Transporte (TLS). A alteração do nome pretendia esclarecer que este era um padrão aberto que qualquer empresa ou projecto podia incorporar e não um produto proprietário da Netscape (que na altura ainda vendia software de servidor web “Netscape Enterprise Server” que utilizava “SSL” para encriptação de transporte). Além disso, o TLS foi concebido para ser independente do protocolo de aplicação, enquanto que o SSL foi inicialmente concebido de forma bastante restrita apenas para ligações HTTP.
Que Devo Dizer?
Linguisticamente, o termo “SSL” ganhou na guerra de “Como devemos chamar a coisa que faz com que a fechadura apareça e seja verde? Como prova, ver a comparação de tendências do Google “SSL vs TLS”.
Por isso, sempre que se fala do conceito global – ou quando se tenta explicar isto a um público não técnico – “SSL” torna-se o termo comummente aceite, pois é mais provável que se tenha ouvido falar e os benefícios de uma comunicação conceptual clara são normalmente primordiais.
Quando se fala do protocolo e que versões do SSL/TLS devem ser activadas, “TLS” é por necessidade preferido, uma vez que a versão exacta é importante devido a mudanças na forma como as cifras, etc. são tratadas.
A um nível prático, no entanto, existem benefícios significativos de segurança e administrativos de saber:
- Que existem diferentes versões de SSL/TLS.
- Que os sistemas mais antigos não se podem ligar a sistemas mais recentes se houver uma desadequação do protocolo. Se alguma vez se perguntou porque é que o Internet Explorer numa nova instalação do Windows 95 não se pode ligar a sites HTTPS, aí está a sua resposta.
- que deve ter uma política organizacional de apenas permitir versões posteriores de TLS. (TLS 1.0 não é aceitável para Conformidade PCI)
- que muitos dispositivos e aplicações ainda suportam versões mais antigas e inseguras de TLS/SSL que precisa de desactivar especificamente.
p>p>Ultimamente, a questão ‘qual é a diferença entre SSL vs TLS?’ é óptima – quanto mais não seja para discutir estes pontos práticos e conduzir para casa porque é que os pontos mais finos dos protocolos de segurança são importantes.