SSL

TLS e SSL para iniciantes

TLS e SSL para iniciantes
Uma introdução à criptografia assimétrica.

Bem-vindo ao guia do iniciante em TLS e SSL. Faremos um mergulho profundo nas aplicações da cartografia de chave assimétrica ou pública.

O que é criptografia assimétrica?

A criptografia de chave pública foi introduzida no início de 1970. Junto com ele surgiu a ideia de que em vez de usar uma única chave para criptografar e descriptografar uma informação, duas chaves separadas deveriam ser usadas: criptografia e descriptografia. Isso significa que a chave usada para criptografar as informações não é relevante para a questão de descriptografar essas informações. Também é conhecido como criptografia assimétrica.

Este é um conceito novo, e para elaborá-lo mais detalhadamente exigiria o uso de cálculos muito intrincados, então vamos deixar essa discussão para outra hora.

O que são TLS e SSL?

TLS significa Transport Layer Security, enquanto SSL é uma abreviatura de Secure Socket Layer. Ambos são aplicativos de criptografia de chave pública e, juntos, tornaram os usuários da Internet capazes de realizar comunicações pela Internet.

O que exatamente esses dois são é explicado abaixo.

Como o TLS é diferente do SSL?

TLS e SSL utilizam a abordagem assimétrica de criptografia para proteger as comunicações na Internet (handshakes). A principal diferença entre os dois é que SSL resultou de inovação comercial e, portanto, uma propriedade de sua empresa controladora, que é a Netscape. Em contraste, o TLS é um padrão da Internet Engineering Task Force, uma versão ligeiramente atualizada do SSL. Foi nomeado de forma diferente para evitar problemas de direitos autorais e, potencialmente, um processo judicial.

Para ser mais preciso, o TLS vem com alguns atributos que o separam do SSL. No TSL, os handshakes são estabelecidos sem segurança e são fortalecidos pelo comando STARTTLS, o que não é o caso do SSL.

O TSL é considerado um aprimoramento do SSL porque permite que apertos de mão que normalmente não são seguros ou inseguros sejam atualizados para o status seguro.

O que torna as conexões TLS mais seguras do que SSL?

Tem havido intensa competição acontecendo nos mercados de segurança de computadores. SSL 3.0 não conseguiu acompanhar a internet e se tornou obsoleto em 2015. Existem várias razões por trás disso, principalmente a ver com as vulnerabilidades que não puderam ser corrigidas. Uma dessas suscetibilidades é a compatibilidade do SSL com cifras capazes de resistir a ataques cibernéticos modernos.

A vulnerabilidade permanece com TLS 1.0, pois um intruso pode forçar um SSL 3.0 conexão no cliente e, em seguida, explorar sua vulnerabilidade. Este não é mais o caso com a nova atualização do TLS.

Que medidas podemos tomar?

Se você está recebendo, basta manter seu navegador atualizado. Hoje em dia, todos os navegadores vêm com suporte integrado para TLS 1.2, razão pela qual manter a segurança não é tão difícil para os clientes. No entanto, os usuários ainda devem tomar cuidado quando virem sinais de alerta. Praticamente todas as mensagens de aviso de seus navegadores apontam para essas bandeiras vermelhas. Os navegadores modernos são excepcionais para detectar se algo obscuro está acontecendo em um site.

Os administradores de servidores que hospedam sites têm responsabilidades maiores sobre seus ombros. Há muito que você pode fazer a esse respeito, mas vamos começar a exibir uma mensagem quando um cliente estiver usando um software desatualizado.

Por exemplo, aqueles que usam máquinas Apache como servidores devem tentar isso:

$ SSLOptions + StdEnvVars
$ RequestHeader definiu o protocolo X-SSL% SSL_PROTOCOL s
$ RequestHeader definiu X-SSL-Cipher% SSL_CIPHER s

Se você estiver usando PHP, procure $ _SERVER no script. Se você encontrar algo que indique que o TLS está desatualizado, uma mensagem será exibida de acordo.

Para fortalecer melhor a segurança do servidor, existem utilitários gratuitos que testam o sistema quanto à suscetibilidade a deficiências de TLS e SSL. Alguns deles podem configurar ainda melhor o seu servidor. Se você gosta dessa ideia, verifique o Mozilla SSL Configuration Generator, que basicamente faz todo o trabalho para você configurar o seu servidor para minimizar os riscos de TLS e tal.

Se você deseja testar o seu servidor para suscetibilidades SSL, verifique Qualys SSL Labs. Ele executa uma configuração automatizada que é abrangente e complexa se você for orientado para os detalhes.

Em suma

Considerando todas as coisas, o peso da responsabilidade recai sobre os ombros de todos.

Com o advento de computadores e técnicas modernas, os ataques cibernéticos tornaram-se cada vez mais impactantes e em grande escala com o tempo. Todos os usuários da Internet devem ter conhecimento adequado dos sistemas de proteção de sua privacidade online e tomar as precauções necessárias ao se comunicar pela Internet.

Em qualquer caso, é sempre melhor usar código aberto, pois eles são mais seguros, gratuitos e podem fazer o trabalho.

Jogos Melhores distros Linux para jogos em 2021
Melhores distros Linux para jogos em 2021
O sistema operacional Linux percorreu um longo caminho desde sua aparência original, simples e baseada em servidor. Este sistema operacional melhorou ...
Jogos Como capturar e transmitir sua sessão de jogo no Linux
Como capturar e transmitir sua sessão de jogo no Linux
No passado, jogar era considerado apenas um hobby, mas com o tempo a indústria de jogos viu um grande crescimento em termos de tecnologia e número de ...
Jogos Melhores jogos para jogar com rastreamento manual
Melhores jogos para jogar com rastreamento manual
Oculus Quest introduziu recentemente a grande ideia de rastreamento manual sem controladores. Com um número cada vez maior de jogos e atividades que e...