Lenon Marcel meu blog sobre qualquer coisa

TLS vs SSL - Qual é a diferença?

É muito comum ocorrer uma certa confusão entre os termos SSL e TLS. Ambos são protocolos de criptografia destinados a proteger a comunicação através de redes de computadores, mas qual é o melhor e o mais seguro? Há alguma diferença entre os dois?

SSL (Secure Sockets Layer)

A primeira versão do protocolo SSL foi desenvolvida pela Netscape em meados de 1994. Por ser muito insegura e facilmente quebrável, essa versão nunca foi publicada. Em abril de 1995 uma segunda versão foi publicada como Internet Draft, porém essa versão também apresentou alguns problemas e logo foi substituída.

Em 1995 a Netscape entrou com um pedido de patente do protocolo SSL. Este pedido foi concedido em 1997 através da patente 5657390.

Também no ano de 1995, a Microsoft publicou um protocolo próprio, baseado no SSL 2, chamado de PCT (Private Communication Technology). Esse protocolo tinha como objetivo melhorar algumas vulnerabilidades encontradas no SSL 2.0.

O SSL 3.0 – publicado em 1996 também como Internet Draft – foi um redesign do protocolo para corrigir as falhas encontradas no SSL 2. Ele já incorpora as ideias presentes no PCT da Microsoft.

TLS (Transport Layer Security)

Em 1996, a IETF (Internet Engineering Task Force) montou um grupo para estabelecer e padronizar um único protocolo aberto e livre. Assim foi criado o TLS, que é baseado no SSL 3. Sua primeira versão – publicada em 1999 através da RFC 2246 – adiciona algumas melhorias ao protocolo SSL 3.

O TLS 1.1 foi publicado em 2006 através da RFC 4346. A versão mais recente, o TLS 1.2, foi publicado em 2008 (RFC 5246).

Há uma nova versão em desenvolvimento - o TLS 1.3 - cuja especificação ainda está em draft.

Versões em uso atualmente

Segundo o SSL Pulse, em Abril de 2015…

  • 13,2% dos sites ainda suportam o SSL 2.0 (1995), um protocolo inseguro e não recomendado. A RFC 6176 descreve os problemas desse protocolo e os motivos pelos quais ele deve ser desativado.
  • 42,3% dos sites ainda suportam o SSL 3.0 (1996), um protocolo inseguro (principalmente após o ataque POODLE demonstrado em 2014).
  • 99,7% dos sites suportam o TLS 1.0 (1999), que já é obsoleto e sofreu ataques em implementações específicas. Um dos ataques é o BEAST.
  • Apenas 55,2% suportam TLS 1.1 (2006)
  • Apenas 58,1% suportam TLS 1.2 (2008)

É importante notar que esses números são apenas dos sites que suportam algum tipo de criptografia.

TL;DR

O protocolo TLS foi criado para substituir o SSL, um protocolo que já é considerado inseguro. Apesar da sigla “SSL” ser muito utilizada, hoje ela é sinônimo de “TLS”. Você deve desativar qualquer suporte ao protocolo SSL 2 e 3.


Referências

Internet Drafts:

RFCs:

Outros:

Livro:

  • Oppliger, Rolf. SSL and TLS: Theory and Practice. Artech House, 2009.

CC0 Este artigo está em domínio público.