ssl

Secure Sockets Layer (SSL) é um protocolo desenvolvido pela Netscape para fornecer uma conexão segura entre dois ou mais dispositivos através da Internet. O SSL usa um sistema criptográfico que usa duas chaves para criptografar os dados, uma chave pública conhecida por todos e uma chave privada ou secreta conhecida apenas pelo destinatário da mensagem. A maioria dos navegadores da web oferece suporte a SSL e muitos sites usam o protocolo para obter informações confidenciais do usuário, incluindo números de cartão de crédito. Por convenção, os URLs que requerem uma conexão SSL começam com https em vez de http.

Isso não significa que SSL e S-HTTP sejam protocolos idênticos, apenas que os dois estão intimamente relacionados e são facilmente reconhecidos pelo rótulo https. Enquanto o SSL cria uma conexão segura entre um cliente e um servidor através do qual qualquer quantidade de dados pode ser enviada com segurança, o S-HTTP foi projetado para transmitir mensagens individuais com segurança. SSL e S-HTTP, portanto, podem ser vistos como tecnologias complementares e não concorrentes. Ambos os protocolos foram aprovados pelo Internet Engineering Task Force (IETF) como padrões.

Como o SSL funciona?

O SSL opera implementando um handshake de três etapas que é colocado em camadas sobre uma conexão TCP:

  1. Quando um navegador da web tenta se conectar a um site usando SSL, o navegador primeiro solicitará que o servidor da web se identifique. Isso solicita que o servidor da web envie ao navegador uma cópia do certificado SSL.
  2. O navegador verifica se o certificado SSL é confiável e, se for, o navegador envia uma mensagem de verificação ao servidor da web.
  3. O servidor então responde ao navegador com uma confirmação assinada digitalmente para iniciar uma sessão criptografada SSL. Isso permite que dados criptografados sejam compartilhados entre o navegador e o servidor, conforme identificado pelo rótulo https em vez de http.

SSL vs. TSL

Secure Sockets Layer (SSL) é o predecessor do Transport Layer Security (TLS). Em 2014, a versão 3.0 do SSL foi considerada vulnerável devido a ataques POODLE (Padding Oracle On Downgraded Legacy Encryption), que permitiu que cookies HTTP seguros ou conteúdos de cabeçalho de autorização HTTP fossem roubados de comunicações desatualizadas. Hoje, o SSL 3.0 é considerado obsoleto e foi sucedido pelo Transport Layer Security (TLS), mas ainda é amplamente implantado. O TLS refina o processo de handshake do SSL e melhora algumas das vulnerabilidades de segurança para criar um protocolo mais confiável. Os certificados TSL às vezes são chamados falsamente de certificados SSL, mas o protocolo SSL raramente foi usado desde que foi oficialmente suspenso em 2015.