Sia TLS che SSL sono protocolli che vi aiutano ad autenticare e trasportare in sicurezza i dati su Internet. Ma qual è la differenza tra TLS e SSL? Ed è una cosa di cui dovete preoccuparvi?
In questo articolo, scoprirete le principali differenze tra TLS e SSL e come entrambi i protocolli si collegano a HTTPS. Imparerete anche perché, come utenti finali, probabilmente non dovete preoccuparvi troppo di TLS e SSL o se state utilizzando un “certificato SSL” o un “certificato TLS”.
Potete fare clic qui sotto per passare a una sezione specifica o leggere l’intero articolo:
- Che Differenza C’È TLS e SSL?
- Come Funzionano TLS e SSL per Tenere i Dati in Sicurezza?
- Perché si Chiama Certificato SSL e Non Certificato TLS?
- Perché Dovreste Utilizzare TLS e non SSL (e Perché Probabilmente lo State Già Facendo Senza Saperlo)
Che Differenza C’È TLS e SSL?
TLS, abbreviazione di Transport Layer Security, e SSL, abbreviazione di Secure Socket Layers, sono entrambi protocolli crittografici che criptano i dati e autenticano una connessione durante il trasferimento di dati su Internet.
Ad esempio, se sul vostro sito web state elaborando pagamenti con carta di credito, TLS e SSL possono aiutarvi a elaborare in modo sicuro questi dati in modo che eventuali attori malintenzionati non possano metterci le mani sopra.
Quindi qual è la differenza tra TLS e SSL?
Bene, TLS è in realtà solo una versione più recente di SSL. Risolve alcune vulnerabilità nella sicurezza dei precedenti protocolli SSL.
Prima di indagare più approfonditamente sulle specifiche, è importante conoscere la storia di SSL e TLS.
SSL 2.0 è stato rilasciato per la prima volta nel febbraio 1995 (SSL 1.0 non è mai stato rilasciato al pubblico a causa di problemi di sicurezza). Sebbene SSL 2.0 sia stato rilasciato al pubblico, anche questo presentava dei problemi di sicurezza ed è stato rapidamente sostituito da SSL 3.0 nel 1996.
Quindi, nel 1999, è stata rilasciata la prima versione di TLS (1.0) come aggiornamento a SSL 3.0. Da allora, ci sono state altre tre versioni di TLS, la più recente delle quali, TLS 1.3, è stata rilasciata nell’agosto del 2018.
A questo punto, entrambe le versioni SSL pubbliche sono state deprecate e presentano vulnerabilità di sicurezza note (ne parleremo più avanti).
Ecco la cronistoria completa delle versioni SSL e TLS:
- SSL 1.0 – mai rilasciato al pubblico per problemi di sicurezza.
- SSL 2.0 – rilasciato nel 1995. Obsoleto nel 2011. Ha riscontrato problemi di sicurezza.
- SSL 3.0 – rilasciato nel 1996. Obsoleto nel 2015. Ha riscontrato problemi di sicurezza.
- TLS 1.0 – rilasciato nel 1999 come aggiornamento a SSL 3.0. Deprecazione programmata nel 2020.
- TLS 1.1 – rilasciato nel 2006. Deprecazione programmata nel 2020.
- TLS 1.2 – rilasciato nel 2008.
- TLS 1.3 – rilasciato nel 2018.
Come Funzionano TLS e SSL per Tenere i Dati in Sicurezza?
Ecco la procedura di alto livello per il funzionamento di SSL e TLS.
Quando installate un certificato SSL/TLS sul vostro server web (spesso chiamato semplicemente “certificato SSL”), questo include una chiave pubblica e una chiave privata che autentica il vostro server e gli consente di crittografare e decrittografare i dati.
Quando un visitatore accede al vostro sito, il suo browser cercherà il certificato SSL/TLS del vostro sito. Quindi, il browser eseguirà un “handshake” per verificare la validità del certificato e autenticare il server. Se il certificato SSL non è valido, i vostri utenti potrebbero trovarsi di fronte all’errore “la vostra connessione non è privata“, che potrebbe farli uscire dal vostro sito web.
Una volta che il browser di un visitatore stabilisce che il vostro certificato è valido e autentica il vostro server, crea un collegamento crittografato con il vostro server per il trasporto sicuro dei dati.
Ed è anche qui che entra in gioco HTTPS (HTTPS sta per “HTTP over SSL/TLS”).
HTTP, e il più recente HTTP/2, sono protocolli applicativi che svolgono un ruolo essenziale nel trasferimento di informazioni su Internet.
Con il semplice HTTP, tali informazioni sono vulnerabili agli attacchi. Ma, quando utilizzate HTTP su SSL o TLS (HTTPS), voi crittografate e autenticate quei dati durante il trasporto, il che li rende sicuri.
Questo è il motivo per cui potete elaborare in modo sicuro i dati della carta di credito su HTTPS ma non su HTTP e anche perché Google Chrome sta spingendo così tanto per l’adozione HTTPS.
Perché si Chiama Certificato SSL se SSL È Deprecato?
Abbiamo visto che TLS è la versione più recente di SSL e che entrambe le versioni pubbliche di SSL sono state deprecate da diversi anni e contengono note vulnerabilità di sicurezza.
QUesto avrebbe potuto farvi chiedere: perché si chiama certificato SSL e non certificato TLS? Dopo tutto, TLS è l’attuale protocollo di sicurezza.
Ad esempio, se guardate la pagina delle caratteristiche di Kinsta, vedrete che Kinsta promuove un certificato SSL gratuito, non un certificato TLS gratuito.
Ma non preoccupatevi: Kinsta non utilizza una tecnologia obsoleta!
No, il motivo per cui la maggior parte delle persone li chiama ancora certificati SSL è fondamentalmente una questione di branding. La maggior parte dei principali provider di certificati li chiama ancora certificati SSL, motivo per cui permane la convenzione sulla denominazione.
In realtà, tutti i “Certificati SSL” che vedete pubblicizzati sono davvero Certificati SSL/TLS (e includono i certificati SSL gratuiti che offriamo come parte della nostra integrazione Cloudflare).
Cioè, è possibile utilizzare entrambi i protocolli SSL e TLS con il proprio certificato.
Non esiste un semplice certificato SSL o solo un certificato TLS e non dovete preoccuparvi di sostituire il certificato SSL con un certificato TLS.
Dovreste Utilizzare TLS o SSL? TLS sta Sostituendo SSL?
Sì, TLS sta sostituendo SSL. E sì, dovreste utilizzare TLS invece di SSL.
Come abbiamo detto in precedenza, entrambe le versioni pubbliche di SSL sono in gran parte deprecate per via delle loro vulnerabilità di sicurezza conosciute. Pertanto, SSL non è un protocollo completamente sicuro nel 2019.
TLS, la versione più moderna di SSL, è sicura. Inoltre, le versioni recenti di TLS offrono anche vantaggi in termini di prestazioni oltre ad apportare altri miglioramenti.
TLS non è solo più sicuro e performante, ma i browser più moderni non supportano più SSL 2.0 e SSL 3.0. Ad esempio, Google Chrome ha smesso di supportare SSL 3.0 già nel 2014 e la maggior parte dei principali browser prevede di smettere di supportare TLS 1.0 e TLS 1.1 nel 2020.
Google ha iniziato a mostrare notifiche di avviso ERR_SSL_OBSOLETE_VERSION in Chrome.
Quindi, come fate ad essere sicuri di utilizzare le versioni più recenti di TLS e non i protocolli SSL vecchi e non sicuri?
Innanzitutto, ricordate che il vostro certificato non è lo stesso del protocollo utilizzato dal vostro server. Non è necessario modificare il certificato per utilizzare TLS. Anche se potrebbe essere etichettato come “certificato SSL”, il vostro certificato supporta già sia i protocolli SSL che TLS.
Invece, controllate quale protocollo utilizza il vostro sito web a livello di server.
Per tutti i suoi clienti, Kinsta abilita già TLS 1.3, che è la versione più moderna, sicura e performante, così come TLS 1.2.
Se siete ospitati altrove, potete utilizzare il tool di SSL Labs per verificare quali protocolli sono abilitati per il vostro sito.
Ad esempio, se testate un sito ospitato su Kinsta, potete vedere che Kinsta abilita TLS 1.2 e TLS 1.3 ma disabilita le versioni precedenti e non sicure di SSL:
Se scoprite che il vostro server supporta ancora protocolli SSL obsoleti, potete contattare l’assistenza del vostro host per farvi assistere, oppure potete seguire queste istruzioni per disabilitare SSL sui due server web più popolari (Apache e Nginx):
- Disabilitare le versioni SSL obsolete su server Apache
- Disabilitare le versioni SSL obsolete su server Nginx
Perché Kinsta Abilita più Protocolli TLS?
Se TLS 1.3 è il protocollo più moderno e performante, perché Kinsta si preoccupa di abilitare anche i protocolli TLS 1.2 che sono più vecchi?
In altre parole: quali sono i vantaggi di abilitare più protocolli?
Come avete appreso in precedenza, ci sono due parti dell’handshake SSL/TLS:
- Il vostro server web
- Il client (di solito il browser di un visitatore)
Affinché l’handshake funzioni, entrambi devono supportare lo stesso protocollo.
Quindi il vantaggio principale dell’avere più protocolli è la compatibilità.
Ad esempio, mentre Chrome e Firefox hanno aggiunto il supporto per TLS 1.3 quasi immediatamente dopo il suo rilascio nel 2018, Apple e Microsoft hanno impiegato un po’ più di tempo.
Ancora nel 2019, i seguenti browser ancora non supportano TLS 1.3:
- Internet Explorer
- Opera Mini
- Android Browser
- Opera Mobile
- UC Browser for Android
- Samsung Internet
- Baidu Browser
Ma, anche se TLS 1.3 non non è ancora pienamente supportato, nel 2019 tutti i principali browser supportano TLS 1.2:
Avendo abilitato TLS 1.3 e TLS 1.2 sul vostro server, potete assicurarvi la compatibilità in ogni caso, garantendovi comunque i vantaggi di TLS 1.3 per i browser che lo supportano, come Chrome e Firefox.
Se volete verificare la versione di SSL/TLS che sta utilizzando il vostro browser, potete usare il tool di How’s My SSL:
Riepilogo
Per riassumere, TLS e SSL sono entrambi protocolli di autenticazione e crittografia del trasferimento di dati su Internet.
I due sono strettamente collegati e TLS è in realtà solo la versione più moderna e sicura di SSL.
Anche se SSL è ancora il termine più utilizzato su Internet, in realtà quasi tutti intendono TLS quando dicono SSL, perché entrambe le versioni pubbliche di SSL non sono sicure e sono state da tempo deprecate.
Per utilizzare i protocolli SSL e TLS, è necessario installare un certificato sul server (ecco come installare un certificato SSL su WooCommerce). Di nuovo, anche se quasi tutti si riferiscono a questi come “certificati SSL”, questi certificati supportano sia i protocolli SSL che TLS.
Non dovete preoccuparvi di “cambiare” il vostro certificato SSL in un certificato TLS. Se avete già installato un “certificato SSL”, potete essere sicuri che supporta anche TLS.
È importante utilizzare le ultime versioni di TLS perché SSL non è più sicuro, ma il certificato non determina il protocollo utilizzato dal server. Invece, una volta che avete un certificato, potete scegliere quali protocolli usare a livello di server.
Per i propri clienti, Kinsta al momento abilita TLS 1.2 e TLS 1.3, tutti sicuri e supportati da tutti i principali browser.
