Handshake TLS: come funziona e perché è importante

Un handshake TLS (traducibile in italiano con il termine “stretta di mano TLS”) ha luogo quando un client e un server si incontrano, dando il via al processo di convalida tra le parti, che si conclude con la creazione di una chiave comune. È grazie al handshake TLS, infatti, che possono essere create o riprese, a secondo dei casi, le sessioni sicure mediante il processo di automazione e scambio di chiavi.

Simile a SSL (Secure Sockets Layer), anche TLS (Transport Layer Security) è un protocollo crittografico che stabilisce una connessione protetta tra server e client. Il protocollo TLS è la versione aggiornata di SSL. Infatti, un certificato TLS è  notevolmente più sicuro e performante rispetto a un certificato SSL. 

Durante un handshake TLS, il server e il client comunicano per riconoscere la presenza dell’altro, verificarne l’identità e concordare le chiavi di sessione. 

Nello specifico Il protocollo di handshake TLS prevede i seguenti step:

1. Il client dà il via all’handshake TLS inviando un messaggio al server. Il messaggio include il valore casuale del client, la versione TLS supportata e la suite di crittografia.
2. Il server risponde con un messaggio che include il valore casuale del server, il certificato SSL, la suite di cifratura scelta e, a volte, la richiesta del certificato del client.
3. Il client autentica il certificato SSL del server e la CA.
4. Il client invia il premaster secret, una stringa casuale di byte e lo crifra con la chiave pubblica dal certificato SSL del server.
5. Il server decifra il premaster secret e le due parti generano le chiavi di sessione.
6. Il client invia un messaggio crittografato con la chiave di sessione.
7. Il server passa il suo stato di sicurezza del livello di registrazione alla crittografia simmetrica utilizzando le chiavi di sessione e invia un messaggio al client.
8. Viene stabilito un canale protetto e tutti i messaggi inviati vengono crittografati utilizzando la chiave di sessione.

In alcuni casi, il client e il server non riescono ad accordarsi sul livello di sicurezza desiderato. In queste circostanze, infatti, non si riesce a stabilire una connessione sicura utilizzando il protocollo TLS. Le cause alla base di questo pronìblema sono molteplici, scopriamo quali sono. 

Le eccezioni all’ handshake TLS spesso fanno sì che il client riceva un errore 503 con scritto “servizio non disponibile” o “la tua connessione non è privata”. Un errore di questo tipo significa che si è verificato un problema con il server. Alcune delle sue cause includono la manutenzione del sito, l’errore nel codice del server o un aumento del traffico del sito Web.

Negli errori di handshake SSL, viene visualizzato l’errore 525 (SSL Handshake Failed), che indica che il server e il client non sono riusciti a stabilire una connessione sicura.

Al pari delle eccezioni dell’handshake SSL, l’handshake TLS non riesce a causa di problemi lato server o lato client. In questo paragrafo vedremo quali sono le cause comuni degli errori di handshake TLS e come risolverli.

Il primo grande gruppo di errori sono quelli che si verificano lato client:

• Errore del browser. Le impostazioni del browser o i plug-in utilizzati  possono generare errori quando si visitano server legittimi. Una semplice soluzione a questo problema è quella di cambiare il browser utilizzato. Se TLS continua a non funzionare dopo aver cambiato fatto ciò, controlla i plug-in installati, rimuovili e ripristina le impostazioni del browser ai valori predefiniti.

• Errori Middleman. I firewall o altri programmi e dispositivi possono potenzialmente causare errori di handshake TLS a causa di connessioni bloccate. In questi casi, controlla i dispositivi o i programmi e intervieni sulle loro impostazioni.

Oltre agli errori lato client, ci sono poi gli errori lato server:

• Mancata corrispondenza del protocollo . Nei casi in cui il protocollo non è supportato dal server, si consiglia di aggiornare alla nuova versione piuttosto che tornare a quella vecchia. Ad esempio, quando il client dispone di TLS 1.1 e il server supporta 1.2, si consiglia al client di eseguire l’aggiornamento a 1.2.

• Mancata corrispondenza della crittografia . Si verificherà un errore quando la crittografia del client non è supportata dal server. Per risolvere questo problema, si consiglia di aggiornare client o server. 

• Errore di certificato . Quando i certificati non sono autenticati o illegali, l’handshake TLS avrà chiaramente esito negativo. Per risolvere questo problema, il server deve controllare il proprio dominio, la scadenza del certificato, la legittimità della CA e altri dettagli che possono compromettere l’ handshake TLS.

Gli handshake TLS garantiscono la sicurezza sia del client che del server, proteggendo la tua azienda dagli attacchi informatici. Top SSL, rivenditore ufficiale GlobalSign,  offre tutti gli strumenti e i prodotti SSL innovativi per le imprese e i privati che vogliono garantire la sicurezza dei propri utenti, rispondere alle minacce e gestire in maniera efficiente i costi relativi alla gestione dei certificati SSL. Non aspettare ulteriormente contattaci!