Mais
Qual'é a diferença entre SSL, TLS, e HTTPS?
Fico confuso com os termos nesta área. O que é SSL, TLS, e HTTPS? Quais são as diferenças entre eles?
551
3
TLS é o novo nome para SSL. Nomeadamente, o protocolo SSL chegou à versão 3.0; TLS 1.0 é "SSL 3.1". As versões do TLS actualmente definidas incluem o TLS 1.1 e 1.2. Cada nova versão adiciona algumas características e modifica alguns detalhes internos. Por vezes dizemos "SSL/TLS".
HTTPS é HTTP-within-SSL/TLS. SSL (TLS) estabelece um túnel seguro e bidirecional para dados binários arbitrários entre dois hosts. HTTP é um protocolo para enviar pedidos e receber respostas, cada pedido e resposta consiste em cabeçalhos detalhados e (possivelmente) algum conteúdo. HTTP é destinado a correr sobre um túnel bidireccional para dados binários arbitrários; quando esse túnel é uma ligação SSL/TLS, então o todo é chamado "HTTPS".
Para explicar os acrônimos:
SSL e TLS são protocolos que visam fornecer privacidade e integridade de dados entre duas partes (ver RFC 2246), projetados para funcionar sobre um protocolo de comunicação confiável (tipicamente TCP). Embora a especificação TLS não'não fale de sockets, o design do SSL/TLS foi feito para que as aplicações pudessem utilizá-los quase como sockets TCP tradicionais, por exemplo
SSLSocket
em Java estendeSocket
(há pequenas diferenças em termos de usabilidade, no entanto). HTTPS é HTTP sobre SSL/TLS, onde a conexão SSL/TLS é estabelecida primeiro, e depois os dados HTTP normais são trocados sobre esta conexão SSL/TLS. Se você usa SSL ou TLS para isso depende da configuração do seu navegador e do servidor (geralmente há uma opção para permitir SSLv2, SSLv3 ou TLS 1.x). Os detalhes de como HTTP e SSL/TLS formam HTTPS estão em RFC 2818. Quanto à diferença entre SSL e TLS, você pode estar interessado nestas duas respostas que escrevi para estas duas perguntas similares sobre StackOverflow e ServerFault:STARTTLS
em LDAP/SMTP). Isto é descrito em RFC 2817. Até onde eu sei, isto quase nunca é utilizado (e não é o que's o que's utilizado porhttps://
nos navegadores). A principal parte relevante desta RFC é a seção sobreCONNECT
para servidores proxy HTTP (isto é utilizado por servidores proxy HTTP para retransmitir conexões HTTPS).SSL VS TLS
Os termos SSL e TLS são frequentemente utilizados de forma intercambiável ou em conjunto (TLS/SSL), mas um é de facto o predecessor do outro - o SSL 3.0 serviu de base ao TLS 1.0 que, como resultado, é por vezes referido como SSL 3.1.
O que é mais seguro SSL ou TLS
Em termos de segurança, ambos são considerados igualmente seguros.
A principal diferença é que, enquanto as conexões SSL começam com segurança e seguem diretamente para comunicações seguras, as conexões TLS começam com um "olá" inseguro para o servidor e só mudam para comunicações seguras após o aperto de mão entre o cliente e o servidor ser bem sucedido. Se o aperto de mão TLS falhar por qualquer motivo, a conexão nunca é criada.
(SSL e TLS vs HTTP)
O protocolo HTTP é usado para solicitar e receber os dados e https em que o 's' é nada mais que SSL seguro que faz o pedido do protocolo http e recebe a atividade criptografada para que nenhum atacante do meio possa obter os dados facilmente.
Se nem o SSL nem o TLS forem usados com HTTP
então sua conexão com o servidor web é descriptografada, todos os dados serão enviados em texto simples que qualquer atacante do meio possa obter e visualizar esses dados.
portanto, deve ir com SSL ou TLS
Bem, ambos são iguais, mas o TLS é mais extensível e espera obter mais apoio no futuro. e o TLS é compatível com versões anteriores.