TLS e SSL: O Que São?

SSL (Secure Socket Layer) and TLS (Transport Layer Security) são protocolos criptográficos. A sua função é encriptar dados, isto é, tornar esses dados inacessíveis a terceiros não autorizados a aceder-lhes. Estes dados referem-se a dados partilhados entre computadores, nomeadamente os dos utilizadores da internet e os que alojam páginas web (que aqueles utilizadores querem visitar).

A primeira versão do protocolo SSL foi lançada em 1995, seis anos depois da primeira proposta publicada por Tim Berners-Lee sobre o que viria a ser a World Wide Web. Rapidamente foram detetadas vulnerabilidades no sistema e lançadas versões posteriores, e logo em 1999 foi lançada a primeira versão do protocolo TLS.

Os websites utilizam encriptação SSL e TLS para que a informação que enviam e recebem dos seus visitantes não seja vista por terceiros mal-intencionados. O protocolo de troca de informação original, e no qual a World Wide Web continua a basear-se, é o HTTP (“Hypertext Transfer Protocol”, ou Protocolo de Transferência de Hipertexto). Este protocolo não inclui medidas de segurança próprias, no sentido em que as suas comunicações podem ser vistas por terceiros. Submeter um username e password num site HTTP implica um sério risco de que esses dados sejam capturados por terceiros; o mesmo sucedendo com quaisquer outros (dados de cartões de crédito, Cartão de Cidadão, Número de Contribuinte, etc.).

O “S” de HTTPS, que se veio substituir a HTTP, significa “seguro” e refere-se à utilização de qualquer um dos protocolos SSL ou TLS. Ou seja, quando visita um site cujo endereço começa por HTTPS, ele está a utilizar encriptação SSL ou TLS; atualmente, a grande maioria dos sites utilizam alguma versão de TLS. O nosso site de VPN online também o usa. Repare no campo de endereço do seu browser ou navegador e verá o ícone de um cadeado junto ao endereço (nomeadamente se estiver a usar o Chrome, Firefox); significa que o site e a sua visita ao mesmo estão protegidos pelo protocolo SSL/TLS usado pelo site. Mesmo que não digite HTTPS ao escrever o endereço do site, ele mudará automaticamente para HTTPS.

Na Internet, uma VPN funciona como uma camada adicional de proteção para todos os utilizadores. Uma VPN não substitui a proteção TLS (muito pelo contrário), mas complementa-a. Enquanto que a encriptação TLS é utilizada para estabelecer uma conexão HTTPS entre o servidor de um website e os seus utilizadores, a encriptação VPN cria uma linha segura entre o seu próprio servidor e o dispositivo dos seus utilizadores.

A encriptação SSL/TLS funciona em duas fases: o “aperto de mão” e o “record layer”.

O “aperto de mão” é um tipo de comunicação entre o computador do utilizador (a que chamaremos o “cliente”) e o computador que aloja a página web ou outro conteúdo a que o utilizador quer aceder (a que chamaremos o “servidor”, até porque quase sempre os computadores de alojamento deste género são servidores propriamente ditos). Durante essa comunicação inicial que é o “aperto de mão”, cliente e servidor irão estabelecer qual a versão de protocolo que utilizarão nas suas comunicações seguintes. Como é que isto funciona na prática?

1. O cliente envia um pedido ao servidor com o qual quer comunicar. O pedido inclui os tipos de cifras (algoritmos de encriptação) que o cliente poderá compreender.

2. O servidor responde enviando o seu certificado SSL e a sua chave pública. Aqui, cliente e servidor usam encriptação assimétrica: o cliente precisa da chave pública para encriptar a mensagem e o servidor de duas chaves (pública e privada) para desencriptá-la. Nenhum intruso ou estranho poderá intercetar esta comunicação.

3. O cliente usa a chave pública do servidor para criar um segredo “pre-master” e enviá-lo de volta para o servidor.

4. O servidor decifra o “pre-master”, cria chaves simétricas e envia-as ao cliente. Neste momento está criada encriptação simétrica entre ambas as partes, o que significa que comunicações posteriores estarão encriptadas caso sejam intercetadas por estranhos, que não terão forma de as decifrar. A comunicação está protegida e segura.

Na fase “record layer”, os dados a enviar são encriptados e, se necessário, comprimidos. As conexões encriptadas são não só mais seguras mas também mais eficientes em termos de recursos e de comunicação propriamente dita, havendo por isso toda a vantagem, por parte dos webmasters, em implementar um protocolo deste género nos seus sites.

Os servidores web que suportam TLS terão certificados SSL, que são adquiridos junto de serviços de web hosting. Estes certificados são necessários durante o processo de aperto de mão para provar a autenticidade do servidor e a sua capacidade de criar uma comunicação segura. É mais correto chamar-lhes certificados SSL/TLS, uma vez que, como vimos acima, a maior parte dos certificados atualmente utiliza tecnologia TLS.

Note-se, porém, que protocolo e certificado não são a mesma coisa. O certificado identifica o servidor mas não determina qual o protocolo de segurança a ser utilizado; essa determinação será feita pelo browser do utilizador (sendo o Google Chrome especialmente exigente neste aspeto) e as configurações do servidor que recebe o pedido. Um utilizador pode ligar-se a um site que seja HTTPS, ou seja, que tenha um certificado SSL/TLS, mas que utilize um protocolo ultrapassado como é o SSL v3.0.