Miliardi di dati sensibili viaggiano ogni giorno attraverso la rete, dai dettagli delle carte di credito alle informazioni di accesso a un servizio online. In questo scenario, due protocolli ricoprono un ruolo cruciale nella sicurezza delle comunicazioni online: SSL (Secure Sockets Layer) e TLS (Transport Layer Security). Sebbene spesso utilizzati come sinonimi, SSL è il precursore della sicurezza sul web ed è stato progressivamente sostituito da TLS, un protocollo più evoluto e sicuro.
Indice dei contenuti:
Le origini: SSL, il pioniere
SSL è stato il primo protocollo di sicurezza ampiamente adottato per le comunicazioni Internet. Sviluppato da Netscape negli anni ’90, SSL aveva lo scopo di proteggere le transazioni online. In origine, i dati viaggiavano liberamente su Internet e chiunque aveva la possibilità di intercettare coordinate bancarie e credenziali di accesso. Veniva infatti utilizzato l’Hypertext Transport Protocol, il protocollo HTTP, che trasferiva le informazioni in chiaro. Il protocollo SSL, sviluppato nel 1994 da Netscape, è nato con l’obiettivo di garantire la protezione e l’integrità dei dati nelle comunicazioni online.
SSL è il predecessore della crittografia TLS. Infatti, l’ultima versione del protocollo SSL è la 3.0, datata 1996 e considerata deprecata.
L’evoluzione: nasce TLS
TLS altro non è che il protocollo che succede al SSL. Introdotto nel 1999, è stato creato per appianare le vulnerabilità del protocollo SSL e per migliorare la sicurezza complessiva delle comunicazioni online. Nonostante TLS sia tecnicamente distinto, la somiglianza con il predecessore SSL ha portato a un utilizzo dei due termini in modo intercambiabile: in sostanza, quando si parla di SSL si fa riferimento a TLS.
Così come il SSL, anche il protocollo TLS fornisce meccanismi di autenticazione, crittografia e integrità dei dati. Ne garantisce la consegna sicura su Internet, evitando possibili intercettazioni e/o alterazioni del contenuto, tramite l’applicazione del protocollo sicuro HTTPS.
La prima versione del TLS è stata rilasciata nel 1999 da IETF come upgrade del SSL e, data la correlazione, ancora oggi viene indicato come SSL/TLS.
Il protocollo HTTPS non è altro che il risultato dell’implementazione della crittografia SSL/TLS. I siti web che prevedono un certificato SSL sono quindi protetti dalla crittografia.
Come funziona il TLS?
Il protocollo TLS prevede una procedura di crittografia simmetrica e asimmetrica a protezione delle comunicazioni tra client e server web. Quando l’utente visita un sito web, questo e il server stabiliscono una connessione utilizzando un metodo chiamato handshake TLS.
Il browser invia una richiesta al server per ottenere il certificato SSL e la chiave pubblica onde verificarne la validità. Una volta verificato il certificato, il browser e il server web si scambiano chiavi private e pubbliche per creare un’unica chiave simmetrica per crittografare tutte le trasmissioni di dati. Questa chiave rimarrà valida per un tempo limitato e per la relativa sessione.
Le differenze tra SSL e TLS
Versioni:
- SSL ha avuto tre versioni principali.
- TLS ha avuto quattro versioni principali.
- Tutte le versioni di SSL sono ora considerate insicure e sono state deprecate.
- Le versioni di TLS precedenti alla 1.2 sono anch’esse considerate vulnerabili.
Sicurezza:
- TLS offre una sicurezza maggiore rispetto a SSL.
- TLS utilizza algoritmi di crittografia più robusti e supporta chiavi più lunghe.
- TLS ha migliorato i meccanismi di autenticazione e verifica dell’integrità dei dati.
Handshake:
- Il processo di handshake è leggermente diverso tra SSL e TLS.
- TLS può completare l’handshake con meno round-trip, migliorando le prestazioni.
- TLS supporta l’handshake “zero round-trip time” (0-RTT) nella sua versione più recente, riducendo ulteriormente la latenza.
Crittografia supportata:
- Le suite di cifratura in TLS sono generalmente considerate più sicure.
- TLS supporta una gamma più ampia di suite di cifratura rispetto a SSL.
