O seu IP: Desconhecido · O seu estado: Protegido
Desprotegido
Desconhecido
Blog Em detalhe

TLS e SSL: O Que São?

A cibersegurança é uma área de conhecimento técnico, com acrónimos e siglas que constituem frequentes obstáculos à compreensão intuitiva. Muitos utilizadores de internet usam-na diariamente sem compreenderem exatamente o que está em causa, tal como há mais de 100 anos que muitas pessoas usam aparelhos que enviam e recebem a voz humana através de fios sem que saibam exatamente como tal se processa. Porém, se a escuta telefónica era uma raridade reservada a espiões e governos, a interceção de comunicações online é muito mais fácil, barata e frequente, pois destina-se a vários fins. Torna-se importante que os internautas saibam o que significam as siglas SSL e TLS.

Laura Klusaite

Laura Klusaite

Jul 01, 2020 · Leitura de 4 min

TLS e SSL: O Que São?

A definição de TLS e SSL

SSL (Secure Socket Layer) and TLS (Transport Layer Security) são protocolos criptográficos. A sua função é encriptar dados, isto é, tornar esses dados inacessíveis a terceiros não autorizados a aceder-lhes. Estes dados referem-se a dados partilhados entre computadores, nomeadamente os dos utilizadores da internet e os que alojam páginas web (que aqueles utilizadores querem visitar).

A primeira versão do protocolo SSL foi lançada em 1995, seis anos depois da primeira proposta publicada por Tim Berners-Lee sobre o que viria a ser a World Wide Web. Rapidamente foram detetadas vulnerabilidades no sistema e lançadas versões posteriores, e logo em 1999 foi lançada a primeira versão do protocolo TLS.

Porque precisam os websites de SSL e TLS?

ssl/tls

Os websites utilizam encriptação SSL e TLS para a que a informação que enviam e recebem dos seus visitantes não seja vista por terceiros mal-intencionados. O protocolo de troca de informação original, e no qual a World Wide Web continua a basear-se, é o HTTP (“Hypertext Transfer Protocol”, ou Protocolo de Transferência de Hipertexto). Este procotolo não inclui medidas de segurança próprias, no sentido em que as suas comunicações podem ser vistas por terceiros. Submeter um username e password num site HTTP implica um sério risco de que esses dados sejam capturados por terceiros; o mesmo sucedendo com quaisquer outros (dados de cartões de crédito, Cartão de Cidadão, Número de Contribuinte, etc.).

O “S” de HTTPS, que se veio substituir a HTTP, significa “seguro” e refere-se à utilização de qualquer um dos protocolos SSL ou TLS. Ou seja, quando visita um site cujo endereço começa por HTTPS, ele está a utilizar encriptação SSL ou TLS; atualmente, a grande maioria dos sites utiliza alguma versão de TLS. O nosso site de VPN online também o usa. Repare no campo de endereço do seu browser ou navegador e verá o ícone de um cadeado junto ao endereço (nomeadamente se estiver a usar o Chrome, Firefox); significa que o site e a sua visita ao mesmo estão protegidos pelo protocolo SSL/TLS usado pelo site. Mesmo que não digite HTTPS ao escrever o endereço do site, ele mudará automaticamente para HTTPS.

Como funciona o SSL

A encriptação SSL/TLS funciona em duas fases: o “aperto de mão” e o “record layer”.

O que é o “aperto de mão” SSL?

O “aperto de mão” é um tipo de comunicação entre o computador do utilizador (a que chamaremos o “cliente”) e o computador que aloja a página web ou outro conteúdo a que o utilizador quer aceder (a que chamaremos o “servidor”, até porque quase sempre os computadores de alojamento deste género são servidores propriamente ditos). Durante essa comunicação inicial que é o “aperto de mão”, cliente e servidor irão estabelecer qual a versão de protocolo que utilizarão nas suas comunicações seguintes. Como é que isto funciona na prática?

1. O cliente envia um pedido ao servidor com o qual quer comunicar. O pedido inclui os tipos de cifras (algoritmos de encriptação) que o cliente poderá compreender.

2. O servidor responde enviando o seu certificado SSL e a sua chave pública. Aqui, cliente e servidor usam encriptação assimétrica: o cliente precisa da chave pública para encriptar a mensagem e o servidor de duas chaves (pública e privada) para desencriptá-la. Nenhum intruso ou estranho poderá intercetar esta comunicação.

3. O cliente usa a chave pública do servidor para criar um segredo “pre-master” e enviá-lo de volta para o servidor.

4. O servidor decifra o “pre-master”, cria chaves simétricas e envia-as ao cliente. Neste momento está criada encriptação simétrica entre ambas as partes, o que significa que comunicações posteriores estarão encriptadas caso sejam intercetadas por estranhos, que não terão forma de as decifrar. A comunicação está protegida e segura.

ssl

SSL/TLS record layer

Na fase “record layer”, os dados a enviar são encriptados e, se necessário, comprimidos. As conexões encriptadas são não só mais seguras mas também mais eficientes em termos de recursos e de comunicação propriamente dita, havendo por isso toda a vantagem, por parte dos webmasters, em implementar um protocolo deste género nos seus sites.

O que é um certificado SSL e porque é necessário?

Os servidores web que suportam TLS terão certificados SSL, que são adquiridos junto de serviços de web hosting. Estes certificados são necessários durante o processo de aperto de mão para provar a autenticidade do servidor e a sua capacidade de criar uma comunicação segura. É mais correto chamar-lhes certificados SSL/TLS, uma vez que, como vimos acima, a maior parte dos certificados atualmente utiliza tecnologia TLS.

Note-se, porém, que protocolo e certificado não são a mesma coisa. O certificado identifica o servidor mas não determina qual o protocolo de segurança a ser utilizado; essa determinação será feita pelo browser do utilizador (sendo o Google Chrome especialmente exigente neste aspeto) e as configurações do servidor que recebe o pedido. Um utilizador pode ligar-se a um site que seja HTTPS, ou seja, que tenha um certificado SSL/TLS, mas que utilize um protocolo ultrapassado como é o SSL v3.0.

Também disponível em: Bahasa Indonesia, Deutsch, English, e mais...