Qual è la differenza tra SSL e TLS?
Secure Sockets Layer (SSL) è un protocollo di comunicazione, o insieme di regole, che crea una connessione sicura tra due dispositivi o applicazioni su una rete. È importante stabilire un rapporto di fiducia e autenticare l'altra parte prima di condividere credenziali o dati su internet. SSL è la tecnologia che le tue applicazioni o i tuoi browser potrebbero aver utilizzato per creare un canale di comunicazione sicuro e crittografato su qualsiasi rete. Tuttavia, SSL è una tecnologia obsoleta che presenta alcuni difetti di sicurezza. Transport Layer Security (TLS) è la versione aggiornata di SSL che corregge le vulnerabilità SSL esistenti. TLS esegue l'autenticazione in modo più efficiente e continua a supportare i canali di comunicazione crittografati.
Quali sono le somiglianze tra SSL e TLS?
SSL e TLS sono due protocolli di comunicazione che crittografano i dati tra server, applicazioni, utenti e sistemi. Autenticano due parti connesse tramite una rete in modo che possano scambiare dati in modo sicuro.
Taher Elgamal ha guidato lo sviluppo di SSL e ha rilasciato SSL 2.0 pubblicamente nel 1995. Lo scopo di SSL era proteggere le comunicazioni sul World Wide Web. Dopo che SSL è passato attraverso varie iterazioni, Tim Dierks e Christopher Allen hanno creato TLS 1.0 nel 1999 come successore di SSL 3.0.
Terminologia
TLS è il successore diretto di SSL e tutte le versioni di SSL sono ora obsolete. Tuttavia, è comune trovare il termine SSL che descrive una connessione TLS. Nella maggior parte dei casi, i termini SSL e SSL/TLS si riferiscono entrambi al protocollo TLS e ai certificati TLS.
Scopo
TLS è un protocollo di comunicazione sicuro che consente la crittografia e l'autenticazione, esattamente come SSL prima che diventasse obsoleto. TLS e SSL utilizzano entrambi certificati digitali che facilitano il processo di handshake e stabiliscono comunicazioni crittografate tra un browser e un server Web.
Utilizzo in HTTPS
HTTP è un protocollo o un insieme di regole di comunicazione per la comunicazione tra client e server su una rete. HTTPS è la pratica di stabilire un protocollo SSL/TLS sicuro su una connessione HTTP non sicura.
Prima di connettersi a un sito Web, il browser utilizza TLS per verificare il certificato TLS o SSL del sito Web. I certificati TLS e SSL mostrano che un server rispetta gli attuali standard di sicurezza. Puoi trovare prove sul certificato nella barra degli indirizzi del browser. Una connessione autentica e crittografata visualizza https:// anziché http://. La s aggiuntiva sta per secure, ovvero sicuro.
Principali differenze tra SSL e TLS
Sebbene gli scopi di SSL e TLS siano molto simili, questi protocolli di comunicazione sono diversi nel modo in cui funzionano. Queste modifiche si sono sviluppate nel tempo quando SSL è passato a varie versioni prima di essere sostituito da TLS.
Handshake SSL/TLS
Un handshake è un processo in cui un browser autentica il certificato SSL o TLS di un server. Questo processo autentica entrambe le parti, quindi scambia chiavi di crittografia.
Un handshake SSL era una connessione esplicita, mentre un handshake TLS è implicito. Il processo di handshake SSL prevedeva più passaggi rispetto al processo TLS. Rimuovendo passaggi aggiuntivi e riducendo il numero totale di suite di crittografia, TLS ha velocizzato il processo.
Messaggi di avviso
I messaggi di avviso sono il modo in cui i protocolli SSL e TLS comunicano errori e avvisi. In SSL, esistono solo due tipi di messaggi di avviso: avvertenza e grave. Un'avvertenza indica che si è verificato un errore, ma la connessione può continuare. Un avviso grave invece indica che la connessione deve essere interrotta immediatamente. Inoltre, i messaggi di avviso SSL non sono crittografati.
TLS ha un tipo di messaggio di avviso aggiuntivo chiamato notifica di chiusura. La notifica di chiusura segnala la fine della sessione. Gli avvisi TLS sono inoltre crittografati per una maggiore sicurezza.
Autenticazione dei messaggi
Sia SSL che TLS utilizzano codici di autenticazione dei messaggi (MAC), una tecnica di crittografia per verificare l'autenticità e l'integrità dei messaggi. Utilizzando una chiave segreta, il protocollo di registrazione genera il MAC come codice a lunghezza fissa e lo collega al messaggio originale.
Il protocollo SSL utilizza l'algoritmo MD5, ormai obsoleto, per la generazione di MAC. TLS utilizza invece il codice di autenticazione dei messaggi basato su hash (HMAC) per una crittografia e una sicurezza più complesse.
Suite di cifratura
Una suite di cifratura è una raccolta di algoritmi che creano chiavi per crittografare le informazioni tra un browser e un server. In genere, una suite di cifratura include un algoritmo di scambio di chiavi, un algoritmo di convalida, un algoritmo di crittografia di massa e un algoritmo MAC. Diversi algoritmi in TLS sono stati aggiornati da SSL a causa di problemi di sicurezza.
Qual è la differenza tra certificati SSL e certificati TLS?
Al momento, tutti i certificati SSL non sono più in uso. I certificati TLS sono lo standard del settore. Tuttavia, il settore continua a utilizzare il termine SSL per riferirsi ai certificati TLS.
I certificati TLS hanno modificato i certificati SSL e li hanno migliorati nel tempo. La funzione finale dei certificati SSL e dei certificati TLS non è cambiata.
I certificati SSL vanno sostituiti con i certificati TLS?
A causa del lento cambiamento culturale, la maggior parte dei certificati TLS sono denominati erroneamente certificati SSL. Anche se il certificato si contrassegna come certificato SSL, supporterà già i protocolli SSL e TLS.
Tuttavia, è importante notare che anche TLS 1.0 e TLS 1.1 sono stati formalmente dichiarati obsoleti nel 2021. Entro giugno 2023, tutti i client di Amazon Web Services dovranno supportare TLS 1.2 o versione successiva. Ricorda che i certificati non sono la stessa cosa di un protocollo. È necessario assicurarsi che la configurazione del server supporti i protocolli TLS.
Riepilogo delle differenze tra SSL e TLS
SSL |
TLS |
|
Sta per |
SSL significa Secure Sockets Layer. |
TLS significa Transport Layer Security. |
Cronologia delle versioni |
SSL è stato sostituito da TLS. SSL è stato rilasciato con le versioni 1.0, 2.0 e 3.0. |
TLS è la versione aggiornata di SSL. TLS è stato rilasciato con le versioni 1.0, 1.1, 1.2 e 1.3. |
Attività |
Tutte le versioni SSL sono ora obsolete. |
Le versioni di TLS utilizzate attivamente sono la 1.2 e la 1.3. |
Messaggi di avviso |
SSL ha solo due tipi di messaggi di avviso. I messaggi di avviso non sono crittografati. |
I messaggi di avviso TLS sono crittografati e più diversificati. |
Autenticazione dei messaggi |
SSL utilizza MAC. |
TLS utilizza HMAC. |
Suite di cifratura |
SSL supporta algoritmi meno recenti con vulnerabilità di sicurezza note. |
TLS utilizza algoritmi di crittografia avanzati. |
Handshake |
Un handshake SSL è complesso e lento. |
Un handshake TLS prevede meno passaggi e garantisce una connessione più veloce. |
In che modo AWS può supportare i tuoi requisiti SSL/TLS?
Amazon Web Services (AWS) offre Gestione certificati AWS (ACM) per soddisfare i requisiti SSL/TLS. Con ACM, è possibile eseguire il provisioning, gestire e implementare certificati SSL/TLS pubblici e privati.
Ecco altri modi in cui trarre vantaggio da ACM:
- Proteggi le risorse interne con comunicazioni sicure su reti private. Ad esempio, proteggi i server, i dispositivi mobili e Internet delle cose (IoT) e le applicazioni.
- Mantieni i certificati SSL/TLS, inclusi i rinnovi dei certificati, con la gestione automatizzata dei certificati.
- Utilizza certificati gratuiti con i servizi integrati AWS.
Inizia a usare la gestione dei certificati SSL/TLS su AWS creando oggi stesso un account gratuito.