SSL (Secure Socket Layer) é a especificação de uma tecnologia, através da aplicação da qual a transferência de Dados está seguro na Internet. Os dados a serem transmitidos são criptografados com base no protocolo HTTPS e, portanto, protegidos contra espionagem por terceiros. A encriptação é complementada pelo requisito de autenticação dos participantes da comunicação. O termo SSL foi agora substituído por TLS (Transport Layer Security). Só o nome é que mudou. A tecnologia subjacente tem permanecido a mesma e alguns pacotes de software e bibliotecas ainda têm SSL em seus nomes por razões históricas, embora eles sejam baseados no TLS, que desde então tem sido mais desenvolvido.
Do SSL para o TLS - semelhanças e diferenças
A tecnologia amplamente implementada, geralmente conhecida pela abreviatura SSL, é hoje continuada e desenvolvida sob o nome de TLS. Os conceitos básicos da tecnologia não mudaram. É ainda o uso de HTTPS como protocolo de encriptação híbrido, cuja última versão como protocolo SSL era Vers. 3.0. Foi então desenvolvido e padronizado como o protocolo TLS, começando em Vers. 1.0. No uso geral da linguagem, os dois termos são frequentemente utilizados como sinônimos, embora o número do verso deva ser anotado. Por exemplo, o SSL 1.0 não corresponde à TSL 1.0. Na presente apresentação, a abreviatura SSL é usada porque tem o maior grau de familiaridade e ainda é comum falar de SSL hoje em dia, mesmo quando se trata de tecnologia TLS. Os conceitos básicos são apresentados, que são idênticos tanto para SSL como para TSL. No entanto, para usos específicos existem diferentes implementações com nomes diferentes, como OpenSSL, GnuTLS, e LibreSSL.
Criptografia e verificação de identidade - o princípio funcional SSL
O princípio funcional da Camada de Tomada Segura ou Camada de Segurança de Transporte é de duas partes. Para além da encriptação dos dados, baseia-se também no uso de autenticação. A utilização do SSL é generalizada e frequentemente utilizada para a recuperação segura de dados confidenciais e para a transmissão segura de dados confidenciais para um servidor HTTP (servidor web). A autenticidade do servidor discado é verificada por um Certificado é garantido e a conexão entre servidor e cliente é criptografada. Como o SSL é extremamente popular hoje em dia, ele quase se tornou um padrão para complementar protocolos de aplicação com os quais uma conexão segura não pode ser realizada apenas por criptografia.
Certificação e autenticação
A certificação e autenticação antes do início de uma transmissão de dados através de uma conexão SSL é dividida nas seguintes etapas de processamento:
- A certificação da chave pública tem lugar uma vez
Mediante solicitação, o servidor recebe uma certificação de uma autoridade de certificação e validação.
- Autenticação do servidor
A conexão entre cliente e servidor é estabelecida por um pedido SSL do cliente e o servidor se autentica com seu certificado.
- Validação do certificado transmitido
O cliente tem o certificado recebido do servidor verificado pela autoridade de certificação e validação.
- transmissão de dados criptografados
Se a identidade do servidor for claramente identificável com base no certificado validado, a transmissão dos dados criptografados é iniciada.
Criptografar e decifrar
A encriptação e descriptação do protocolo SSL é baseada num par de chaves digitais composto por uma chave pública e uma chave privada. Ambas as chaves são diferentes. O remetente (cliente) recebe a chave pública do receptor (servidor) após o receptor se ter autenticado com o seu certificado. Este procedimento é chamado de "criptografia assimétrica" ou "procedimento de chave pública". O remetente então usa a chave pública para criptografar os dados que ele envia ao receptor. Após a criptografia, os dados não podem mais ser descriptografados com a chave pública, mas apenas com a chave privada correspondente do servidor, que, portanto, deve mantê-los em segredo em qualquer caso.
Os certificados
Tanto o SSL como o TLS funcionam com os chamados certificados PKIX, que significa "Public Key Infrastructure according to X.509v3". Existem três tipos de certificados, onde o esforço de verificação durante a certificação é diferente e, portanto, um nível de autenticidade seguro diferente é garantido:
- O Certificado de Domínio Validado (DV-SSL) é o certificado mais barato. O domínio só é validado por E-mail validado e o certificado é geralmente emitido após alguns minutos.
- O Certificado de Validação da Organização (OV-SSL) aumenta a confiabilidade do domínio através da verificação completa da empresa/operador.
- O Certificado de Validação Estendida (EV SSL) é baseado no mais alto nível de validação e é comum no sector bancário, entre outras coisas.
As limitações do SSL/TLS
Apenas a transmissão de dados é assegurada pelo protocolo SSL. O que acontece com o destinatário está além do escopo do protocolo SSL.