Tanto o TLS como o SSL são protocolos que o ajudam a autenticar e transportar dados na Internet de forma segura. Mas qual é a diferença entre TLS vs SSL?E é algo com que precisa de se preocupar?

Neste artigo, você aprenderá as principais diferenças entre TLS vs SSL, assim como como ambos os protocolos se conectam ao HTTPS. Você também vai aprender porque, como usuário final, você provavelmente não precisa se preocupar muito com TLS vs SSL ou se você está usando um “certificado SSL” ou um “certificado TLS”.

Você pode clicar abaixo para saltar para uma seção específica ou ler o artigo inteiro:

Qual é a diferença entre TLS e SSL?

TLS, abreviação de Transport Layer Security, e SSL, abreviação de Secure Socket Layers, são ambos protocolos criptográficos que criptografam dados e autenticam uma conexão ao mover dados na Internet.

Por exemplo, se você estiver processando pagamentos com cartão de crédito em seu website, TLS e SSL podem ajudá-lo a processar esses dados com segurança para que atores maliciosos não possam colocá-los em suas mãos.

Então qual é a diferença entre TLS vs SSL?

Bem, TLS na verdade é apenas uma versão mais recente do SSL. Ele corrige algumas vulnerabilidades de segurança nos protocolos SSL anteriores.

Antes de aprender mais sobre as especificidades, é importante entender a história básica do SSL e do TLS.

O SSL 2.0 foi lançado pela primeira vez em Fevereiro de 1995 (o SSL 1.0 nunca foi lançado publicamente por causa de falhas de segurança). Embora o SSL 2.0 tenha sido lançado publicamente, também continha falhas de segurança e foi rapidamente substituído pelo SSL 3.0 em 1996.

Então, em 1999, a primeira versão do TLS (1.0) foi lançada como uma atualização para SSL 3.0. Desde então, houve mais três lançamentos de TLS, sendo o mais recente o TLS 1.3 em agosto de 2018.

Neste ponto, ambos os lançamentos públicos SSL foram depreciados e conheceram vulnerabilidades de segurança (mais sobre isso mais tarde).

Aqui está o histórico completo de lançamentos de SSL e TLS:

  • SSL 1.0 – nunca divulgado publicamente devido a questões de segurança.
  • SSL 2.0 – lançado em 1995. Depreciado em 2011. Conheceu problemas de segurança.
  • SSL 3.0 – lançado em 1996. Depreciado em 2015. Conheceu problemas de segurança.
  • TLS 1.0 – lançado em 1999 como uma atualização para SSL 3.0. Depreciação planejada para 2020.
  • TLS 1.1 – lançado em 2006. Depreciação planejada para 2020.
  • TLS 1.2 – lançado em 2008.
  • TLS 1.3 – lançado em 2018.

Como o TLS e o SSL funcionam para proteger dados?

Aqui está o processo de alto nível de como ambos SSL e TLS funcionam.

Quando você instala um certificado SSL/TLS no seu servidor web (muitas vezes chamado apenas de “certificado SSL”), ele inclui uma chave pública e uma chave privada que autenticam o seu servidor e deixam o seu servidor criptografar e decodificar dados.

Quando um visitante vai ao seu site, o seu navegador irá procurar o certificado SSL/TLS do seu site. Em seguida, o navegador irá executar um “aperto de mão” para verificar a validade do seu certificado e autenticar o seu servidor. Se o certificado SSL não for válido, seus usuários podem ser confrontados com o erro “sua conexão não é privada“, o que poderia levá-los a deixar seu site.

Quando o navegador de um visitante determina que seu certificado é válido e autentica seu servidor, ele essencialmente cria um link criptografado entre ele e seu servidor para transportar dados com segurança.

É também aqui que entra HTTPS (HTTPS significa “HTTP over SSL/TLS”).

HTTP, e o HTTP/2 mais recente, são protocolos de aplicação que desempenham um papel essencial na transferência de informações pela Internet.

Com o HTTP simples, essa informação é vulnerável a ataques. Mas quando você usa HTTP sobre SSL ou TLS (HTTPS), você criptografa e autentica esses dados durante o transporte, o que os torna seguros.

É por isso que você pode processar com segurança os detalhes do cartão de crédito sobre HTTPS, mas não sobre HTTP, e também por que o Google Chrome está pressionando tanto para a adoção de HTTPS.

Por que é chamado de certificado SSL se o SSL é depreciado?

Acima, você aprendeu que o TLS é a versão mais recente do SSL e que ambas as versões públicas do SSL foram depreciadas por vários anos e contêm vulnerabilidades de segurança conhecidas.

Isso pode deixá-lo a pensar: porque se chama um certificado SSL e não um certificado TLS? Afinal de contas, TLS é o protocolo moderno de segurança.

Por exemplo, se você olhar na página de características Kinsta, você verá que Kinsta anuncia um certificado SSL gratuito, não um certificado TLS gratuito.

Não se preocupe: Kinsta não está usando tecnologia ultrapassada!

Não, a razão pela qual a maioria das pessoas ainda se refere a eles como certificados SSL é basicamente uma questão de marca. A maioria dos principais provedores de certificados ainda se referem aos certificados como certificados SSL, razão pela qual a convenção de nomes persiste.

Na realidade, todos os “Certificados SSL” que você vê anunciados são realmente Certificados SSL/TLS (que inclui os certificados SSL gratuitos que oferecemos como parte da nossa integração com o Cloudflare).

Ou seja, você pode usar ambos os protocolos SSL e TLS com o seu certificado.

Não existe tal coisa como apenas um certificado SSL ou apenas um certificado TLS, e você não precisa se preocupar em substituir seu certificado SSL por um certificado TLS.

Você deve usar TLS ou SSL? A TLS está substituindo o SSL?

Sim, o TLS está a substituir o SSL. E sim, você deve usar o TLS em vez do SSL.

Como você aprendeu acima, ambos os lançamentos públicos de SSL são depreciados em grande parte por causa das conhecidas vulnerabilidades de segurança neles. Como tal, o SSL não é um protocolo totalmente seguro em 2019 e nos anos seguintes.

O TLS, a versão mais moderna do SSL, é seguro. Além disso, versões recentes do TLS também oferecem benefícios de desempenho e outras melhorias.

O TLS não só é mais seguro e mais eficiente como a maioria dos browsers modernos já não suporta SSL 2.0 e SSL 3.0. Por exemplo, o Google Chrome deixou de suportar SSL 3.0 em 2014, e a maioria dos principais navegadores planeja deixar de suportar o TLS 1.0 e o TLS 1.1 em 2020.

Na verdade, o Google começou a mostrar notificações de aviso ERR_SSL_OBSOLETE_VERSION no Chrome.

Então, como você garante que está usando as versões mais recentes do TLS e não os protocolos SSL mais antigos e inseguros?

Primeiro, lembre-se que o seu certificado não é o mesmo que o protocolo que o seu servidor utiliza. Você não precisa alterar o seu certificado para usar o TLS. Mesmo que possa ser marcado como um “certificado SSL”, o seu certificado já suporta os protocolos SSL e TLS.

Em vez disso, você controla qual protocolo seu site usa no nível do servidor.

Se você está hospedado na Kinsta, Kinsta já habilita o TLS 1.3 para você, que é a versão mais moderna, segura e performante, assim como o TLS 1.2.

Se você estiver hospedando em outro lugar, você pode usar a ferramenta SSL Labs para verificar quais protocolos estão habilitados para o seu site.

Por exemplo, se você testar um site hospedado na Kinsta, você pode ver como Kinsta habilita o TLS 1.2 e TLS 1.3, mas desabilita as versões mais antigas e inseguras do SSL:

Como testar quais protocolos SSL/TLS o seu servidor usa
Como testar quais protocolos SSL/TLS o seu servidor usa

Se você descobrir que o seu servidor ainda suporta os protocolos SSL depreciados, você pode procurar ajuda no seu host ou seguir estas instruções para desabilitar o SSL nos dois servidores web mais populares (Apache and Nginx):

Por que a Kinsta habilita múltiplos protocolos de TLS?

Se o TLS 1.3 é o protocolo mais moderno e performante, porque é que a Kinsta também se preocupa em permitir os protocolo ligeiramente mais antigos TLS 1.2?

Em outras palavras: qual é a vantagem de ter múltiplos protocolos habilitados?

Como você aprendeu acima, há duas partes do aperto de mão SSL/TLS:

  1. Seu webserver
  2. O cliente (geralmente um navegador de internet do visitante)

Para que o aperto de mão funcione, ambos precisam de suportar o mesmo protocolo.

Portanto, o principal benefício de ter múltiplos protocolos é a compatibilidade.

Por exemplo, enquanto o Chrome e o Firefox adicionaram suporte ao TLS 1.3 quase imediatamente após o seu lançamento em 2018, a Apple e a Microsoft demoraram um pouco mais para adicionar o suporte ao TLS 1.3.

Mesmo em 2019, os seguintes navegadores ainda carecem de suporte ao TLS 1.3:

  • Internet Explorer
  • Ópera Mini
  • Navegador Android
  • Ópera Móvel
  • Navegador UC para Android
  • Samsung Internet

Navegador Baidu

TLS 1.3 suporte a navegador web
TLS 1.3 suporte a navegador web

Mas enquanto o TLS 1.3 ainda não tem adoção total, todos os principais navegadores suportam o TLS 1.2 em 2019:

TLS 1.2 suporte a navegador web
TLS 1.2 suporte a navegador web

Ao ter o TLS 1.3 e o TLS 1.2 habilitados no seu servidor, você pode garantir a compatibilidade não importa o que aconteça, enquanto ainda obtém os benefícios do TLS 1.3 para navegadores que o suportam, como o Chrome e o Firefox.

Se você quiser verificar qual a versão SSL/TLS que seu navegador está usando, você pode usar a ferramenta How’s My SSL:

Como testar quais protocolos SSL/TLS o seu navegador usa
Como testar quais protocolos SSL/TLS o seu navegador usa

Resumo

Em resumo, TLS e SSL são ambos protocolos para autenticar e criptografar a transferência de dados na Internet.

Os dois estão estreitamente ligados e TLS é realmente apenas a versão mais moderna e segura do SSL.

Embora o SSL ainda seja o termo dominante na Internet, a maioria das pessoas realmente querem dizer TLS quando dizem SSL, porque ambas as versões públicas do SSL não são seguras e foram depreciadas há muito tempo.

Para usar os protocolos SSL e TLS, você precisa instalar um certificado no seu servidor (veja como instalar o certificado SSL no WooCommerce). Mais uma vez, enquanto a maioria das pessoas se refere a estes como “certificados SSL”, estes certificados suportam tanto o protocolo SSL como o TLS.

Não precisa de se preocupar em “mudar” o seu certificado SSL para um certificado TLS. Se você já instalou um “certificado SSL”, você pode estar confiante de que ele também suporta TLS.

É importante utilizar as últimas versões do TLS porque o SSL já não é seguro, mas o seu certificado não determina o protocolo que o seu servidor utiliza. Em vez disso, uma vez que você tenha um certificado, você pode escolher quais protocolos usar em um nível de servidor.

Se você está hospedado na Kinsta, Kinsta atualmente permite o TLS 1.2 e TLS 1.3, todos eles seguros e suportados por todos os principais navegadores.