skip to Main Content

Benvenuti

Sistematica SpA è l’azienda capofila operativa di un gruppo di PMI denominato “Gruppo Sistematica”, oggi controllata da S.M.R.E. Spa, società quotata al segmento AIM di Borsa Italiana.

Il Gruppo è nato a Terni nel 1996 da specialisti del settore informatico provenienti da alcune tra le più importanti aziende italiane del ramo IT. La partecipazione, con compiti di assoluto rilievo, a progetti ad elevato livello di specializzazione, ci hanno permesso di diventare, in questi 20 anni di vita aziendale, una realtà con quasi 15 milioni di ricavi annui e circa 100 risorse tecniche distribuite in 4 sedi sul territorio nazionale

Rimani in Contatto

Email: info@www.top-ssl.it
Phone: +39 0744 61221
Address: Viale D. Bramante 43, 05100 Terni (TR)

Dove siamo

+39 0744 61221 info@top-ssl.it Login / Register

Certificati SSL vs TLS: qual è la differenza?

A meno che non tu non debba lavorare abitualmente con i certificati SSL e con i loro successori i certificati TLS, ci sono buone probabilità che tu non conosca la differenza tra queste due tipologie di protocolli crittografici. Molto spesso, infatti, ci si riferisce colloquialmente ai certificati TLS come SSL e viceversa. Allora, qual è la differenza tra i certificati SSL e i certificati TLS?  Potrai scoprirlo leggendo questo articolo.

certificati-ssl_certificati-tls

Breve storia dei certificati SSL e TLS

SSL  (Secure Sockets Layers) e TLS  (Transport Layer Security)  forniscono entrambi l’autenticazione e la crittografia dei dati scambiati tra server,  applicazioni e macchine che operano in rete. La prima versione di SSL 1.0 fu sviluppata nel lontano 1995 da Netscape, ma non venne mai rilasciata perché piena di gravi falle di sicurezza. SSL 2.0 non era molto migliore della precedente versione, così dopo solo un anno dopo fu rilasciato SSL 3.0, che anche in questo caso presentava molteplici e importanti problemi di sicurezza.  

In seguito nel 1999 è fu rilasciata TLS 1.0 come aggiornamento a SSL 3.0. TLS 1.0 era incredibilmente simile a SSL 3.0, ma anche abbastanza diverso da richiedere un downgrade. Come scrissero i creatori del protocollo TLS: “Le differenze tra questo protocollo e SSL 3.0 non sono evidenti, ma sono sufficientemente significative da non consentire l’interoperabilità tra TLS 1.0 e SSL 3.0”.

Il downgrade a SSL 3.0 era comunque rischioso, date le sue note vulnerabilità che potevano essere sfruttate dai malintenzionati. Infatti, tutto ciò che un hacker doveva fare per attaccare un sito Web era eseguire il downgrade del protocollo a SSL 3.0. Questa particolarità finì per essere il colpo di grazia per TLS 1.0.

TLS 1.1, pubblicato nel 2006, fu sostituito da TLS 1.2 nel 2008. Ciò ha danneggiato l’adozione di TLS 1.1 poiché molti siti Web sono stati aggiornati direttamente da 1.0 a TLS 1.2. Oggigiorno siamo giunti a TLS 1.3, finalizzato circa due anni fa dopo circa 30 bozze IETF. TLS 1.3 apporta dei miglioramenti significativi rispetto alle release precedenti e in questo momento i principali attori di Internet come Microsoft, Apple, Google e Mozilla stanno spingendo per la sua adozione. 

Dovresti usare i certificati SSL o i certificati TLS?

Sia SSL 2.0 che 3.0 sono stati deprecati dall’Internet Engineering Task Force (IETF), rispettivamente nel 2011 e nel 2015. Nel corso degli anni sono state e continuano ad essere scoperte nuove vulnerabilità di questi certificati digitali. La stragrande maggioranza dei browser attualmente in uso, infatti, mostrerà un avviso di sicurezza quando incontrano un server web che utilizza protocolli crittografici obsoleti come questi. Per questo motivo, dovresti disabilitare SSL 2.0 e 3.0 nella configurazione del tuo server e, già che ci sei, deprecare anche TLS 1.0 e TLS 1.1.

I certificati non sono la stessa cosa dei protocolli

Prima che qualcuno inizi a preoccuparsi di dover sostituire i propri certificati SSL esistenti con certificati TLS, è importante notare che i certificati digitali non dipendono dai protocolli. Cioè, non è necessario utilizzare un certificato TLS rispetto a un certificato SSL. Sebbene molti fornitori tendano a utilizzare il termine certificati SSL / TLS, potrebbe essere più accurato chiamarli certificati da utilizzare con SSL e TLS, poiché i protocolli sono determinati dalla configurazione del server, non dai certificati stessi.

Molti certificati digitali annunciano il livello di crittografia, ma in realtà sono le capacità del server e del client a determinarlo. All’inizio di ogni connessione, si verifica un handshake durante il quale il client autentica il certificato TLS del server e i due decidono su una suite di crittografia reciprocamente supportata. Le suite di cifratura sono un insieme di algoritmi che lavorano insieme per crittografare in maniera sicura la tua connessione ad un sito web. Quando la suite di cifratura viene concordata durante l’handshake, è allora che vengono determinati la versione del protocollo e gli algoritmi di supporto. Il tuo certificato digitale semplifica semplicemente tale processo. 

Una suite di cifratura è composta di quattro algoritmi: 

  1. Lo scambio di chiavi;
  2. la firma digitale;
  3. l’autenticazione del messaggio;
  4. l’algoritmo di hash.

Per ora, è probabile che continuerai a vedere certificati denominati certificati SSL perché a questo punto è il termine con cui più persone sono familiari. Stiamo iniziando a vedere un maggiore utilizzo del termine TLS in tutto il settore e SSL/TLS è un compromesso fino a quando TLS non sarà più ampiamente accettato e utilizzato.

SSL e TLS sono differenti dal punto di vista crittografico?

La risposta è sì. La differenza tra ogni versione del protocollo potrebbe non essere enorme, ma se confrontassimo SSL 2.0 con TLS 1.3 noteremmo un enorme divario tra queste due release. In altre parole, la sostanza è la stessa, ma il modo in cui i diversi protocolli svolgono il loro compito è diverso.  

Un handshake SSL utilizza una porta per effettuare le sue connessioni. Questa è chiamata connessione esplicita. La porta 443 è la porta standard per HTTPS, ma ci sono 65.535 porte in tutto, con solo alcune dedicate a una funzione specifica. 

TLS, al contrario, inizia le sue connessioni tramite protocollo. Questa è chiamata connessione implicita. Il primissimo passo della stretta di mano è chiamato “client hello”. Con TLS questo viene inviato tramite un canale non sicuro e la connessione passa alla porta 443 (o alla porta che hai designato) una volta che l’handshake è iniziato.

Tradizionalmente, l’handshake ha comportato diversi roundtrip durante l’autenticazione e lo scambio delle chiavi. Con SSL, questo aggiungeva latenza alle connessioni. È qui che ha avuto origine il mito secondo il quale SSL/HTTPS siano causa del rallentamento del tuo sito web. Ogni nuova versione del protocollo è stata così sviluppata per ridurre il tempo di latenza aggiunta dall’handshake. Con TLS 1.2, è stato dimostrato che HTTPS in realtà era più veloce di HTTP grazie alla sua compatibilità con HTTP/2. 

TLS 1.3 ha perfezionato ulteriormente la “stretta di mano”. Ora può essere realizzata con un singolo roundtrip e consente la ripresa del tempo di andata e ritorno pari a zero (0-RTT). Parte del modo in cui questo è stato fatto è grazie alla riduzione del numero di suite di cifratura che supporta, da quattro algoritmi a solamente due. 

Attualmente sono utilizzati un algoritmo di crittografia di massa (simmetrica/di sessione) e un algoritmo di hashing. Lo scambio di chiavi viene ora eseguito utilizzando un protocollo Diffie-Hellman, che abilita di default la perfect forward secrecy (PFS) e consente al client e al server di fornire la loro parte del segreto condiviso alla prima interazione. Anche quella prima interazione è ora crittografata, chiudendo ogni possibilità di attacco da parte di cybercriminali.

Allora, qual è la differenza tra SSL e TLS? Sono ancora molte le persone  che continuano a utilizzare i termini SSL e TLS in modo intercambiabile. Tuttavia, in termini di configurazione del server, ci sono alcune importanti differenze architettoniche e funzionali. E queste differenze sono lo spazio tra le vulnerabilità, le suite di crittografia obsolete, gli avvisi di sicurezza del browser e un server sicuro. Quando si tratta dei tuoi server, dovresti avere abilitati solo i protocolli TLS.

Hai altre domande sulla configurazione SSL/TLS e sulle best practice? Noi di Top SSL possiamo aiutarti, offrendo tutti gli strumenti, i servizi e i prodotti SSL innovativi per ridurre i rischi, rispondere alle minacce e controllare i costi relativi alla gestione dei certificati digitali. Non perdere tempo contattaci!

Rimani in Contatto con Noi

Se hai una domanda inviaci una mail.
Sarai ricontattato dal  Nostro servizio Clienti  al più presto.

Back To Top
0
Connecting
Please wait...
Send a message

Sorry, we aren't online at the moment. Leave a message.

Your name
* Email
* Describe your issue
Login now

Need more help? Save time by starting your support request online.

Your name
* Email
* Describe your issue
We're online!
Feedback

Help us help you better! Feel free to leave us any additional feedback.

How do you rate our support?