TLS vs SSL: qual protocolo você deve usar?

Se você é proprietário de um site, provavelmente deseja saber como torná-lo o mais seguro possível. Proteger seu site e convertê-lo para HTTPS deve ser uma prioridade. Você provavelmente já ouviu dois termos circulando por aí que são essenciais para chegar lá: TLS vs SSL. O que eles querem dizer? Um é melhor que o outro? Qual você deve usar para ter o site mais seguro possível?

Vamos detalhar as diferenças e semelhanças entre os protocolos e analisar o que você deve fazer para proteger seu site.

O que são SSL e TLS?

Secure Sockets Layer (SSL) e Transport Layer Security (TLS) são protocolos de segurança que ajudam a proteger os dados e tornam seu site mais seguro para o usuário final. Ambos os protocolos resultam em criptografia de ponta a ponta entre o site e o dispositivo do usuário. Isso cria confiança com usuários e mecanismos de pesquisa. Se você usa TLS ou SSL para proteger seu site, está protegendo seus próprios dados e (talvez mais importante) os de seus usuários contra possíveis hackers ou atividades maliciosas.

Os proprietários de sites obtêm certificados TLS e SSL para converter um site de HTTP (protocolo de transferência de hipertexto) para HTTPS (protocolo de transferência de hipertexto seguro). Quando um site é seguro, ele exibe um ícone de cadeado seguro na barra de endereços do navegador do usuário. Ter um certificado de segurança para seu site informa aos navegadores que é seguro para um usuário acessar, dando ao usuário a tranquilidade de saber que suas informações estão seguras.

Todo site precisa de um certificado TLS ou SSL. Ele ajuda nas classificações de pesquisa, bem como na proteção contra hackers e outras situações comprometedoras. Mas é especialmente importante se você estiver usando seu site para processar informações de pagamento ou armazenar registros confidenciais. É apenas uma peça do seu quebra-cabeça para a segurança total e bloqueada do site, mas é fundamental.

Qual é a diferença entre TLS vs SSL?

Em termos de resultados, TLS e SSL oferecem a mesma coisa: segurança criptografada para seu site . É provável que você ouça os termos usados ​​alternadamente em referência aos certificados. Embora tecnicamente, TLS e SSL não sejam a mesma coisa. Ambos os protocolos usam um processo chamado handshake para iniciar uma conexão criptografada. Basicamente, as duas máquinas pedem para ver a identidade da outra e, quando ela for confirmada, podem fazer negócios.

É aí que as semelhanças técnicas terminam. Cada protocolo criptográfico funciona de uma maneira diferente para alcançar o mesmo resultado final.

Em poucas palavras, o padrão atual de TLS 1.3 vs SSL (e padrões TLS mais antigos) inclui a redução da latência para promover tempos de carregamento mais rápidos , o que é imperativo hoje em dia para todos os sites existentes, removendo o excesso de código legado para diminuir o número de vetores que alguém pode atacar seu site e usar um único handshake entre os pontos em vez de vários, o que novamente reduz os vetores que alguém pode comprometer sua segurança.

O SSL, lançado pela primeira vez em 1995, é o predecessor do TLS. Desde então, todas as três iterações do SSL foram encontradas em falta quando se tratava de vulnerabilidades de segurança. Na verdade, a primeira versão nunca foi lançada publicamente. Mais tarde, a Internet Engineering Task Force (IETF) desativou todas as versões do SSL.

Mesmo assim, o termo SSL ainda é amplamente utilizado para descrever os certificados de segurança que os usuários do site precisam obter. Mas na maioria dos casos, o protocolo real sendo executado nos bastidores é o TLS. Hoje, as versões 1.2 e 1.3 do TLS são as únicas versões de qualquer protocolo (TLS vs SSL) que ainda não foram preteridas pelo IETF ou pelos principais navegadores. Se você quiser ler mais sobre os meandros técnicos do TLS 1.3 e como ele funciona, a Cloudflare tem um excelente post articulando as especificações.

Seu site deve ter TLS ou SSL?

Ao longo dos anos, o SSL foi quase totalmente substituído pelo TLS. Mesmo que você ainda veja “certificados SSL” referidos com mais frequência do que os TLS, o protocolo subjacente em uso provavelmente será o TLS. Independente do nome.

Seu site deve ter o TLS em uso, pois agora é o protocolo padrão aprovado pela IETF para segurança do site. Seu host pode fornecer certificados SSL com hospedagem (ou você pode obter um em outro lugar), provavelmente ainda funcionará por meio desse protocolo TLS, independentemente de ser chamado de SSL. Se você está buscando a segurança máxima do WordPress, então você precisa ter certeza de que suas bases estão cobertas aqui.

Devido a vários problemas de segurança, o SSL e as versões mais antigas do TLS precisam ser desabilitados no lado do servidor do seu site. Se você não se sentir à vontade para trabalhar no servidor sozinho, peça ajuda ao host do site ou a um desenvolvedor. Afinal, é para isso que você os paga! Certificar-se de que as versões obsoletas de SSL e TLS impedem que protocolos mais antigos sejam ativados protege ainda mais seu site contra ameaças e invasões de segurança.

E os dois?

Por causa das semelhanças, histórico e convenções de nomenclatura um tanto desconcertantes, você pode estar se perguntando se os proprietários de sites precisam de um certificado SSL e TLS para proteger adequadamente seus sites. Não! Atualmente, os certificados SSL e TLS fazem a mesma coisa. O certificado em si não fornece segurança para seu site. Em vez disso, apenas permite que o protocolo TLS em segundo plano faça seu trabalho. O que vai além para explicar por que as convenções de nomenclatura são confusas – para manter as coisas mais consistentes com o que as pessoas estão acostumadas a ouvir.

Como usar TLS e SSL em seu site WordPress

Usar TLS e SSL em seu site WordPress é bastante fácil. Primeiro, você precisará obter o certificado (geralmente chamado de certificado SSL, como mencionamos). Existem opções pagas e gratuitas disponíveis. Isso significa que você pode obter um certificado de uma maneira que funcione melhor para seu orçamento e para o tipo de site que você administra. Você pode estar em um setor que exige um nível mais rígido de segurança e controle do que um certificado gratuito pode oferecer. Se for esse o caso, você deve procurar um certificado SSL pago.

Existem algumas maneiras diferentes de obter um certificado SSL para o seu site WordPress. Tudo isso é bem fácil.

• Obtenha um certificado SSL gratuito de uma fonte como ZeroSSL ou SSL For Free (estes precisarão ser renovados manualmente a cada 90 dias e não terão suporte de atendimento ao cliente aprofundado).
• Compre hospedagem na web de uma empresa que fornece um certificado SSL como parte de seu pacote de hospedagem com hosts como SiteGround, Flywheel e Pressable.
• Aumente a segurança do seu site usando um CDN como o Cloudflare.
• Use um plugin do WordPress como o Really Simple SSL para implementar seu certificado SSL.

Uma vez que você tenha o certificado no lugar, você vai querer certificar-se de que todos os seus links redirecionam para seu site HTTPS em vez de HTTP. O Google pode penalizá-lo por ter um site inseguro se você não tiver. Isso garante que você não seja sinalizado quando os usuários tentarem acessar seu site. Existem plugins do WordPress que você pode usar para fazer isso, como WP Force SSL e HTTPS Redirect. Como alternativa, você pode pedir ajuda ao seu host da Web ou a um desenvolvedor para configurar corretamente seu servidor para redirecionar para HTTPS. Alguns plugins de redirecionamento 301 e plugins de SEO também oferecem essa funcionalidade diretamente em suas configurações.

Conclusão

Quando você pega referências a TLS vs SSL e uma diferente, elas estão certas e erradas. As especificações técnicas são diferentes, mas os nomes são intercambiáveis ​​nos dias de hoje. Essencialmente, eles estão se referindo a um padrão que fornece o mesmo resultado final. O protocolo TLS substituiu o SSL porque é mais rápido e seguro. No entanto, os nomes TLS e SSL permanecem intercambiáveis ​​em referência aos certificados de segurança.

Lembre-se, a segurança do WordPress usando TLS é relativamente simples e nem de longe tão confusa quanto os nomes e .

Agora que você sabe qual protocolo usar, é hora de proteger seu site. Boa sorte!

Imagem em destaque do artigo por MicroOne / shutterstock.com