Diferença entre SSL e TLS

TLS vs SSL
 

Há várias diferenças entre SSL e TLS, uma vez que o TLS é o sucessor do SLS, todos os quais serão discutidos neste artigo. SSL, que se refere a Camada segura de soquete, é um protocolo usado para fornecer segurança às conexões entre um servidor e um cliente. Esse protocolo usa mecanismos de segurança, como criptografia e hash, para fornecer serviços de segurança, como confidencialidade, integridade e autenticação de terminal para conexões entre um servidor e um cliente. TLS, que se refere a Segurança da camada de transporte, é o sucessor do SSL, que inclui correções de bugs e melhorias no SSL. O SSL, agora um pouco antigo, possui muitos bugs de segurança conhecidos e, portanto, o recomendado é usar a versão mais recente do TLS, que é o TLS 1.2. O SSL chegou às versões 3.0 e depois disso o nome foi alterado para TLS.

O que é SSL ?

SSL, que se refere a Camada segura de soquete, é um protocolo usado para fornecer conexões seguras entre um cliente e um servidor. Uma conexão TCP pode fornecer um link confiável entre um servidor e um cliente, mas não pode fornecer serviços como confidencialidade, integridade e autenticação de ponto final. Portanto, o SSL foi introduzido pela Netscape no início dos anos 90 para fornecer esses serviços. A primeira versão do SSL, conhecida como SSL 1.0, nunca foi lançada ao público, pois apresentava muitas falhas de segurança. No entanto, em 1995, o SSL 2.0, que oferecia melhor segurança que o SSL 1.0, foi introduzido e, em 1996, o SSL 3.0 foi introduzido com mais melhorias. As próximas versões do protocolo SSL apareceram sob o nome TLS.

O SSL, implementado na camada de transporte, pode proteger um protocolo como o TCP, aplicando várias medidas de segurança. Fornecerá confidencialidade usando criptografias para impedir que alguém escute. Ele usa criptografia assimétrica e simétrica. Primeiro, usando a criptografia de chave assimétrica, é estabelecida uma chave de sessão simétrica que seria usada para criptografar o tráfego. A criptografia de chave assimétrica também é usada para certificados digitais usados ​​para autenticar o servidor. O Código de autenticação de mensagens, que usa várias técnicas de hash, é usado para fornecer integridade (identifique qualquer modificação não autenticada feita nos dados reais). Portanto, um protocolo como o SSL permite transmitir informações confidenciais, como transações bancárias e informações de cartão de crédito pela Internet. Além disso, é usado para fornecer confidencialidade a serviços como email, navegação na web, mensagens e voz sobre IP.

O SSL agora está desatualizado e possui muitos problemas de segurança nos quais seu uso não é muito recomendado atualmente. O SSL 3.0 foi ativado por padrão até recentemente em muitos navegadores, mas agora eles planejam desativar nas versões futuras devido a erros graves de segurança, como ataques de POODLE.

O que é TLS?

TLS, que se refere a Segurança da camada de transporte, é o sucessor do SSL. Após o SSL 3.0, a próxima versão surgiu como TLS 1.0 em 1999. Em 2006, uma versão aprimorada denominada TLS 1.1 foi introduzida. Em 2008, outras melhorias e correções foram feitas e o TLS 1.2 foi introduzido. Atualmente, o TLS 1.2 é a versão mais recente disponível do Transport Layer Security. Assim como o SSL, o TLS também fornece serviços de segurança, como confidencialidade, integridade e autenticação de ponto final. Da mesma forma, criptografia, código de autenticação de mensagens e certificados digitais são usados ​​para fornecer esses serviços de segurança. O TLS é imune a ataques como o ataque POODLE, que comprometeu a segurança do SSL 3.0.

A recomendação é usar a versão mais recente do TLS, TLS 1.2, pois é a mais recente com menos falhas de segurança. Qualquer sistema de segurança não é perfeito e com falhas de tempo seria detectado e, no futuro, o TLS versão 1.3 será lançado para corrigir os erros detectados. No entanto, atualmente, o TLS 1.2 é o mais seguro e, em todos os navegadores convencionais, isso é ativado por padrão.

Qual é a diferença entre SSL e TLS?

• TLS é o sucessor do SLS. O SLS foi introduzido nos anos 90 e foram introduzidas três versões, nomeadamente SSL 1.0, SSL 2.0 e SSL 3.0. Depois disso, em 1999, a próxima versão do SSL foi nomeada como TLS 1.0. O TLS 1.1 foi introduzido e a versão mais recente atual é o TLS 1.2.

• O SSL tem muitos bugs e é suscetível a ataques conhecidos que o TLS. Nas versões mais recentes do TLS, a maioria dos bugs foi corrigida e, portanto, é imune a ataques.

• TLS possui novos recursos e suporta novos algoritmos quando comparado ao SSL.

• Com o ataque chamado ataque POODLE, agora o uso do SSL se tornou muito vulnerável e, nas novas versões dos navegadores da Web, o SSL será desativado por padrão. No entanto, em todos os navegadores, o TLS é ativado por padrão.

• O TLS suporta novos conjuntos de algoritmos de autenticação e troca de chaves, como ECDH-RSA, ECDH-ECDSA, PSK e SRP.

• Os conjuntos de algoritmos do código de autenticação de mensagens, como HMAC-SHA256 / 384 e AEAD, estão disponíveis nas versões mais recentes do TLS, mas não no SSL.

• SSL foi desenvolvido e editado no Netscape. No entanto, o TLS está sob a Internet Engineering Task Force como um protocolo padrão e, portanto, está disponível no RFC.

• Existem diferenças na implementação do protocolo, como troca de chaves e derivação de chaves.

Resumo:

TLS vs SSL

O TLS é o sucessor do SSL e, portanto, o TLS inclui muitas melhorias e correções de bugs sobre o SSL. O SSL foi introduzido no início dos anos 90 e três versões chegaram ao SSL 3.0. Então, em 1999, a próxima versão do SSL apareceu sob o nome TLS 1.0. Atualmente, a versão mais recente é o TLS 1.2. O SSL, sendo um protocolo antigo, possui muitos bugs de segurança conhecidos e, portanto, é suscetível a ataques conhecidos, como o ataque POODLE. A versão mais recente do TLS corrige esses ataques enquanto também suporta novos recursos e algoritmos. Portanto, para aplicativos que precisam de uma segurança melhor, é recomendável a versão mais recente do TLS, em vez de usar protocolos SSL antigos.

Cortesia de imagens: 

  1. TLS por Jeffreytedjosukmono (CC BY-SA 3.0)