Si­cu­ra­men­te vi siete già imbattuti in queste due sigle: SSL e TLS, spesso anche combinate insieme come SSL/TLS. Quando, ad esempio, volete con­fi­gu­ra­re ma­nual­men­te un client di posta elet­tro­ni­ca o ospitare un sito web, vanno ne­ces­sa­ria­men­te prese in con­si­de­ra­zio­ne. Scoprite la dif­fe­ren­za tra i due pro­to­col­li.

Registra il tuo dominio
  • Domain Connect gratuito per una con­fi­gu­ra­zio­ne facile del DNS
  • Cer­ti­fi­ca­to SSL Wildcard gratuito
  • Pro­te­zio­ne privacy inclusa

Il si­gni­fi­ca­to di SSL e TLS

SSL sta per “Secure Socket Layer”, TLS per “Transport Layer Security”. Entrambi sono pro­to­col­li di crit­to­gra­fia per il livello di trasporto di Internet. Il loro compito è criptare i flussi di dati tra client e server.

Se la co­mu­ni­ca­zio­ne avviene at­tra­ver­so questi livelli di trasporto criptati, al nome del pro­to­col­lo viene aggiunta una “s”: http diventa https, imap diventa imaps e così via. L’ab­bre­via­zio­ne SSL viene uti­liz­za­ta anche quando si parla di cer­ti­fi­ca­to SSL: questo cer­ti­fi­ca­to è richiesto quando un sito web vuole co­mu­ni­ca­re via https, come è il caso della maggior parte dei siti web.

Consiglio

Trovate ulteriori in­for­ma­zio­ni nel nostro altro articolo sul TLS.

La dif­fe­ren­za tra SSL e TLS

SSL è stato in­tro­dot­to nel 1995. Dopo la scoperta di una serie di gravi falle di sicurezza, è stata ri­la­scia­ta la versione mi­glio­ra­ta 2.0, seguita l’anno suc­ces­si­vo dalla versione 3.0. In seguito, l’IETF (Internet En­gi­nee­ring Task Force, re­spon­sa­bi­le dell’evo­lu­zio­ne tecnica e tec­no­lo­gi­ca di Internet) ha respinto la versione SSL 3.0, per la presenza di nuove falle di sicurezza.

N.B.

SSL 2.0 e SSL 3.0 sono chiamate anche SSLv2 e SSLv3.

TLS è il pro­to­col­lo suc­ces­so­re di SSL. È stato in­tro­dot­to nel 1999 come versione mi­glio­ra­ta di SSL 3.0 ed è stato ini­zial­men­te chiamato SSL 3.1. La versione attuale è TLS 1.3 (dal 2018).

Il passaggio da SSL 3.0 a TLS 1.0 è stato ini­zial­men­te solo un piccolo passo. “Le dif­fe­ren­ze tra questo pro­to­col­lo (TLS) e SSL 3.0 non sono drastiche ma piuttosto si­gni­fi­ca­ti­ve, tanto che TLS 1.0 e SSL 3.0 non lavorano insieme” (li­be­ra­men­te tradotto da RFC 2246). Rispetto a SSL 3.0, in TLS 1.0 sono state mi­glio­ra­te la sicurezza crit­to­gra­fi­ca e l’in­te­ro­pe­ra­bi­li­tà delle ap­pli­ca­zio­ni. La versione TLS 1.2 in uso oggi offre una maggiore sicurezza contro gli attacchi degli hacker e consente alle ap­pli­ca­zio­ni una maggiore fles­si­bi­li­tà per quanto riguarda la cifratura uti­liz­za­ta (cipher suites).

Il TLS attuale è quindi più sicuro, più fles­si­bi­le e più ef­fi­cien­te del pre­ce­den­te SSL. Tuttavia, poiché la sigla “SSL” è molto più co­no­sciu­ta rispetto a TLS, molti fornitori di client software, router, ecc. uti­liz­za­no la sigla SSL o in al­ter­na­ti­va la doppia sigla SSL/TLS, pur ri­fe­ren­do­si alla versione attuale di TLS, cioè TLS 1.3.

SSL o TLS: quale uti­liz­za­re?

At­tual­men­te si utilizza solo TLS. SSL 2.0 e SSL 3.0 sono obsoleti e con­si­de­ra­ti insicuri. Lo stesso vale per le versioni pre­ce­den­ti di TLS. Solo TLS 1.2 può ancora essere usato in de­ter­mi­na­te con­di­zio­ni, che sono indicate nella de­scri­zio­ne di TLS 1.3. Tuttavia, si rac­co­man­da di evitare tutti i pro­to­col­li SSL (il cui uso non è più con­sen­ti­to) e le versioni 1.0 e 1.1 di TLS (il cui supporto sarà presto eliminato). Su server dotati di una con­fi­gu­ra­zio­ne adeguata, questi pro­to­col­li obsoleti sono di­sa­bi­li­ta­ti.

Immagine: Screenshot di GlobalSign
Esempio di una con­fi­gu­ra­zio­ne adeguata del server: è abilitato solo TLS 1.2. Fonte: https://glo­bal­si­gn.ssllabs.com/
Consiglio

Con questo tool di Glo­bal­Si­gn potete ve­ri­fi­ca­re quali pro­to­col­li di crit­to­gra­fia ha abilitato il server di un de­ter­mi­na­to sito web.

Vai al menu prin­ci­pa­le