TLS vs SSL: qual è la differenza?

Sicuramente vi siete già imbattuti in queste due sigle: SSL e TLS, spesso anche combinate insieme come SSL/TLS. Quando, ad esempio, volete configurare manualmente un client di posta elettronica o ospitare un sito web, vanno necessariamente prese in considerazione. Scoprite la differenza tra i due protocolli.

Registra il tuo dominio
  • Certificato SSL Wildcard incluso
  • Registrazione di dominio sicura
  • Indirizzo e-mail professionale da 2 GB

Il significato di SSL e TLS

SSL sta per “Secure Socket Layer”, TLS per “Transport Layer Security”. Entrambi sono protocolli di crittografia per il livello di trasporto di Internet. Il loro compito è criptare i flussi di dati tra client e server.

Se la comunicazione avviene attraverso questi livelli di trasporto criptati, al nome del protocollo viene aggiunta una “s”: http diventa https, imap diventa imaps e così via. L’abbreviazione SSL viene utilizzata anche quando si parla di certificato SSL: questo certificato è richiesto quando un sito web vuole comunicare via https, come è il caso della maggior parte dei siti web.

Consiglio

Trovate ulteriori informazioni nel nostro altro articolo sul TLS.

La differenza tra SSL e TLS

SSL è stato introdotto nel 1995. Dopo la scoperta di una serie di gravi falle di sicurezza, è stata rilasciata la versione migliorata 2.0, seguita l’anno successivo dalla versione 3.0. In seguito, l’IETF (Internet Engineering Task Force, responsabile dell’evoluzione tecnica e tecnologica di Internet) ha respinto la versione SSL 3.0, per la presenza di nuove falle di sicurezza.

N.B.

SSL 2.0 e SSL 3.0 sono chiamate anche SSLv2 e SSLv3.

TLS è il protocollo successore di SSL. È stato introdotto nel 1999 come versione migliorata di SSL 3.0 ed è stato inizialmente chiamato SSL 3.1. La versione attuale è TLS 1.3 (dal 2018).

Il passaggio da SSL 3.0 a TLS 1.0 è stato inizialmente solo un piccolo passo. “Le differenze tra questo protocollo (TLS) e SSL 3.0 non sono drastiche ma piuttosto significative, tanto che TLS 1.0 e SSL 3.0 non lavorano insieme” (liberamente tradotto da RFC 2246). Rispetto a SSL 3.0, in TLS 1.0 sono state migliorate la sicurezza crittografica e l’interoperabilità delle applicazioni. La versione TLS 1.2 in uso oggi offre una maggiore sicurezza contro gli attacchi degli hacker e consente alle applicazioni una maggiore flessibilità per quanto riguarda la cifratura utilizzata (cipher suites).

Il TLS attuale è quindi più sicuro, più flessibile e più efficiente del precedente SSL. Tuttavia, poiché la sigla “SSL” è molto più conosciuta rispetto a TLS, molti fornitori di client software, router, ecc. utilizzano la sigla SSL o in alternativa la doppia sigla SSL/TLS, pur riferendosi alla versione attuale di TLS, cioè TLS 1.3.

SSL o TLS: quale utilizzare?

Attualmente si utilizza solo TLS. SSL 2.0 e SSL 3.0 sono obsoleti e considerati insicuri. Lo stesso vale per le versioni precedenti di TLS. Solo TLS 1.2 può ancora essere usato in determinate condizioni, che sono indicate nella descrizione di TLS 1.3. Tuttavia, si raccomanda di evitare tutti i protocolli SSL (il cui uso non è più consentito) e le versioni 1.0 e 1.1 di TLS (il cui supporto sarà presto eliminato). Su server dotati di una configurazione adeguata, questi protocolli obsoleti sono disabilitati.

Screenshot di GlobalSign
Esempio di una configurazione adeguata del server: è abilitato solo TLS 1.2. Fonte: https://globalsign.ssllabs.com/
Consiglio

Con questo tool di GlobalSign potete verificare quali protocolli di crittografia ha abilitato il server di un determinato sito web.

Hai trovato questo articolo utile?
Per offrirti una migliore esperienza di navigazione online questo sito web usa dei cookie, propri e di terze parti. Continuando a navigare sul sito acconsenti all’utilizzo dei cookie. Scopri di più sull’uso dei cookie e sulla possibilità di modificarne le impostazioni o negare il consenso.