SSL e TLS – Qual a diferença entre os certificados?

Bem vindo de volta, pequeno gafanhoto! Com toda certeza, você já ouviu falar do SSL (tema que já foi abordado aqui em nosso blog), e se precisou configurar um e-mail alguma vez também já viu um pouco sobre TLS, que pode ser considerado um irmão mais novo nesse caso.

Hoje, vamos entender exatamente como cada certificação funciona e de que forma isso impacta seu site e seus visitantes na proteção dos dados desses usuários.

Sumário

1. O que é o SSL
2. O que é o TLS
3. Como funcionam
4. Quando usar um ou outro
5. Conclusão

O que é SSL?

Lançado oficialmente em 1995 já na versão 2.0, o SSL (abreviação de Secure Sockets Layer) consiste em uma camada de criptografia que ajuda a impedir que agentes mal intencionados tentem interceptar o conteúdo do seu site. Para entender melhor como ele funciona, vamos considerar que o seu site é o chamado servidor, e o visitante é o cliente.

Quando um visitante acessa seu site, ele está fazendo uma requisição para o servidor, e o servidor irá retornar uma resposta. Esse tráfego de informação entre o cliente e servidor contém informações do que está sendo enviado ou recebido para o site.

O grande ponto da sua proposta é permitir criptografar no transporte as informações trafegadas, e então apenas o servidor seria capaz de “desembaralhar” esses dados, o que ajuda a evitar que terceiros possam interceptar e visualizar aquilo que está sendo navegado em seu site.

Em um exemplo de uso prático, temos os sites de e-commerce, por exemplo, que lidam com informações sensíveis de cadastros de clientes e principalmente de dados de cartão de crédito. Ao tornar essas informações ilegíveis durante a conexão, o site se torna muito mais seguro contra a interceptação de dados.

O que é TLS?

O TLS (de Transport Layer Security) é um protocolo que surgiu para substituir o SSL, devido a falhas de segurança que o protocolo antigo apresentava. No tópico anterior, mencionamos que o SSL havia sido lançado já na versão 2.0, o que é bem estranho, não é?

Isso acontece porque a versão 1.0 nunca foi lançada publicamente, por ter apresentado falhas de segurança que impediram seu lançamento, que então foram corrigidas para o lançamento da versão 2.0. Assim, podemos considerar que o 1.0 foi a versão beta antes do real lançamento definitivo.

Em suma, o TLS tem o mesmo intuito do seu antecessor, de criar uma camada de segurança que irá criptografar as informações entre cliente (visitante) e servidor (site). O lançamento de sua versão 1.0 foi como uma atualização para o SSL 3.0, no ano de 1999. Atualmente, o novo protocolo se encontra na versão 1.3 que foi lançada em 2018.

Assim, podemos tratar esse protocolo como substituto imediato do SSL, que foi descontinuado, mas segue em uso nos dias atuais.

Como eles funcionam?

Quando um site tem um certificado instalado, o seu servidor de hospedagem irá armazenar uma “Chave Privada” e uma “Chave Privada”, que permitirá que a hospedagem criptografe e descriptografe as informações trafegadas no site. Desse modo, apenas o seu site terá as credenciais necessárias para descriptografar corretamente os dados.

Quando o site conta com esse certificado, é possível navegar nele através do HTTPS, que é um complemento ao protocolo HTTP, mas com o S enfatizando a ideia de segurança implementada com os certificados.

Vale mencionar ainda que o HTTPS é o responsável por permitir a visualização do tão famoso cadeadinho verde ao acessar um site (e que em muitos navegadores atuais já não se encontra mais essa coloração), que serve como uma forma visual de identificar mais facilmente se o site acessado está protegido.

Assim, quando um visitante acessa o site o navegador irá confirmar se o servidor conta com um certificado ativo e válido, para estabelecer a conexão através de um “handshake” (aperto de mão) para trocar os dados de forma segura.

É no momento dessa verificação, inclusive, que o navegador dispara a mensagem de site inseguro caso o site não tenha um certificado, ou se ele estiver inválido ou expirado.

Então, devo usar SSL ou TLS?

Quando falamos de certificados, e nunca falamos diretamente do TLS, não é mesmo? Isso acontece porque a versão mais antiga se tornou tão popular que acabou “engolindo” completamente o mundo da WEB, a ponto de nem mesmo sua versão mais recente ser capaz de substituir o nome em termos de popularidade.

Por esse motivo, ainda podemos ver sendo comercializados sempre certificado SSL em vez de certificados TLS, devido à popularidade e apelo comercial que as empresas que vendem esses certificados têm com o antigo protocolo.

Na prática, os certificados atuais funcionam em ambos os protocolos, que também são suportados normalmente pelos navegadores. Desse modo, você pode usar ambos os protocolos através de um mesmo certificado SSL que será também TLS já de forma totalmente nativa.

Então, ao contrário do que poderia parecer inicialmente, seu site não estará usando tecnologias antigas ao fazer uso do Certificado SSL, já que ele também terá total suporte para o funcionamento do seu substituo mais atual

Conclusão

Ter um site seguro para os visitantes é uma grande responsabilidade, por isso é tão importante contar com os protocolos de certificação e encriptação para proteger os dados dos seus usuários, e agora você entende de forma mais técnica não somente a importância disso e como é feito, mas também quem são os agentes por trás desse processo.

Como pudemos ver, o SSL hoje é uma tecnologia um pouco mais antiga, mas ainda usada em alguns casos, tendo sido substituída pelo TLS para oferecer uma segurança ainda maior e corrigir falhas anteriores. Isso é fantástico por mostrar a importância que os criadores dessa certificação dão à segurança de dados, em um projeto que segue ativo e aquecido.

Nos casos dos planos de hospedagem aqui na KangarooHost, seus sites receberão de forma gratuita e automática o certificado SSL/TLS para deixar seu projeto ainda mais seguro para seus clientes e visitantes, então confira aqui os nossos planos disponíveis e torne o seu site mais protegido hoje mesmo.