O que é o TLS e como ele se compara ao SSL?

13

O TLS é a "nova" versão do SSL? Quais recursos são adicionados ou problemas de segurança são resolvidos?

Qualquer coisa que suporte SSL suporta TLS? O que estaria envolvido em fazer a troca? O switch vale a pena?

Por que os e-mails são enviados por meio de "TLS Oportunista" e VPNs geralmente chamados de SSL VPN? Existe alguma diferença na tecnologia, talvez criando espaço para uma linha de produtos "TLS VPN"?

    
por random65537 03.09.2010 / 17:23

4 respostas

11

O TLS e o SSL são tecnologias intimamente relacionadas.

Primeiro, email e TLS Oportunista. O ESMTP tem a opção de executar a parte real da transferência de dados da conversa em um link criptografado. Isso faz parte do protocolo e tem sido chamado de TLS durante a maior parte de sua existência. Funciona mais ou menos assim:

-> EHLO foreignmailer.example.com
<- 250 Howdy, stranger
<- [list of capabilities, of which TLS is listed]
-> [Indicates it wants to start a TLS session]
<- [accepts negotioation]
-> [Mail actions, of which LOGIN might be one]

Quando a sessão TLS tiver sido iniciada, novos métodos de login poderão estar disponíveis. Este é um exemplo de um protocolo que inclui diretamente a Segurança da Camada de Transação. Os certificados usados são o mesmo tipo de certificados usados para SSL sobre HTTP.

Para um exemplo de serviço que não inclui o TLS diretamente, use o POP3 sobre SSL. Nesse caso, a sessão segura é negociada antes de o protocolo atual ser negociado. Em essência, o POP3 está sendo encapsulado dentro de uma sessão segura.

Em geral, se um serviço suportar SSL, ele poderá ser estendido para suportar o TLS. Se isso foi feito ou não, depende dos mantenedores do serviço. Isso significa que o TLS pode substituir o SSL em "SSL VPNs".

VPNs SSL são distintas de seus primos baseados em IPSec, pois a sessão segura é feita em um nível diferente. As SSL VPNs funcionam da mesma maneira que o POP3-over-SSL, pois o tráfego é encapsulado por uma conexão TCP existente. VPNs IPSec criam um túnel seguro nível IP , onde VPNs SSL criam um túnel seguro nível TCP . A razão pela qual as VPNs SSL parecem estar assumindo é que elas são mais fáceis de configurar e são mais tolerantes a condições de rede ruins. As VPNs SSL podem usar o protocolo TLS para proteger a sessão, embora isso dependa do próprio criador da VPN.

Quanto às diferenças exatas de nível de protocolo entre SSL e TLS, nas quais não posso entrar. O TLS como um padrão chegou mais tarde que o SSL e, portanto, inclui algumas das lições aprendidas nas primeiras versões do SSL. O SSLv3 foi ratificado em 1996 e o TLS1.0 em 1999, e o desenvolvimento adicional do protocolo parece estar limitado ao pacote TLS. Demorou um longo período para SSLv1 e v2 desaparecerem. O TLS é o sucessor claro do pacote SSL.

    
por 03.09.2010 / 17:48
5

O TLS é essencialmente uma atualização para o SSL. As mudanças não são dramáticas, mas significativas o suficiente para quebrar a compatibilidade com SSL3.0.

O artigo da Wikipédia abrange-o extensivamente, mas em termos razoavelmente compreensíveis. (Eu não quero dizer RTFM, mas eu não quero repetir tudo lá.)

Eles são usados de maneira semelhante e ainda são chamados de SSL. Basicamente, você escolhe o seu esquema de criptografia para ser um ou outro.

    
por 03.09.2010 / 17:37
3

SSL como já foi apontado é um protocolo desenvolvido pela Netscape no passado. Em algum momento, o corpo de padrões da IETF decidiu adotar o protocolo SSLv3 como padrão, por isso, ele foi alterado muito sutilmente e recebeu o nome de TLSv1.0.

Portanto, para a maioria das pessoas, o TLSv1.0 é quase equivalente ao SSLv3. A razão pela qual as pessoas ainda chamam a família de protocolos SSL é por razões históricas - todos estão acostumados com o nome, então continuam usando-o. É bem possível que a VPN esteja usando o TLS sob a capa, mas o nome do marketing ainda permanece como SSL VPN.

Desde TLSv1.0, houve duas revisões do padrão e agora está em TLSv1.2, que embora ainda seja compatível, tem algumas mudanças significativas. Devido ao design SSL / TLS, tanto o cliente quanto o servidor podem negociar a versão do protocolo que desejam usar, para que os clientes que usam o TLSv1.0 ainda possam conversar com servidores que implementam o TLSv1.2 e vice-versa.

Considerando a interoperabilidade entre todas as versões do protocolo, não há "fazer um switch", já que eles são da mesma família. É uma questão de "eu preciso usar uma versão mais recente?". Como em qualquer outra área, a resposta a esta pergunta dependerá se a versão atual que você está usando tem alguma limitação ou não. Atualmente, não há problemas com o uso do SSLv3, mas a maioria dos clientes e servidores trabalha com o TLSv1.0.

Espero que isso clarifique um pouco a imagem. Se não, deixe-me saber o que ainda está confuso vou tentar explicar mais.

    
por 03.09.2010 / 20:37
0

Is TLS the "new" version of SSL? What features does it add, or security issues does it address?

O TLS é T ransport L a S de segurança e geralmente se refere ao comando STARTTLS nos servidores de correio SMTP. Pode ou não usar SSL (ver o versamal da palma para um exemplo), mas em geral o SSL é o principal sistema de segurança usado. O TLS também foi usado para outros propósitos (como HTTP) e a última especificação RFC está na versão 1.2

Can anything that supports SSL support TLS? What would be involved in making the switch? Is the switch worth it?

Normalmente, mas por qualquer coisa, considerando-se o TLS, você está se referindo a servidores de e-mail, portanto, especificamente os servidores de e-mail que possuem um certificado SSL podem usar o TLS para transferir e-mails e receber correspondências.

Why is it that emails are sent over "Opportunistic TLS" and VPN's often called SSL VPN? Is there a difference in the technology, perhaps creating room for a "TLS VPN" product line ?

Isso cheira como os meatheads de marketing entraram na sala. "TLS Oportunista" significa simplesmente que, se starttls não retornar um 220 (Pronto para iniciar o TLS), vá em frente e envie o e-mail mesmo assim. Observe que o TLS é uma opção SENDER e não uma opção de recebimento, o que pode ser possível com alguns servidores de e-mail para recusar mensagens não-TLS, mas essa seria a exceção, não a regra.

O TLS também suporta autenticação mútua e não simplesmente criptografia de uma conexão.

Enviar um email por uma VPN (seja SSL ou outro esquema de segurança) simplesmente torna a segurança dos servidores de email essencialmente irrelevante, você pode usar o TLS em uma VPN (e você pode até usar TLS como o esquema de segurança da VPN), mas não necessariamente afetam como o e-mail é transportado se apenas a conexão do VPn estiver criptografada entre os servidores de e-mail (portanto, dos servidores de e-mail de origem e de destino, eles podem estar transmitindo texto simples padrão)

    
por 03.09.2010 / 19:31