Já parou para pensar como é feita a segurança das informações que saem do seu navegador até o servidor onde está hospedada a aplicação/site que você está visitando? Não?! Então, deixa a gente te contar… Essa segurança é feita por dois protocolos de segurança: o SSL e o TLS. Eles são a abreviação dos termos em inglês “Secure Sockets Layer” (Camada de Soquete Seguro, em tradução livre) e “Transport Layer Security” (Segurança da Camada de Transporte). Ambos dão nome ao protocolo padrão internacional de segurança, que garante a troca de informações sigilosas na Internet.
O SSL é uma tecnologia originalmente desenvolvida pela Netscape em 1994 que permite o tráfego seguro pela internet, servindo através de uma camada de proteção adicional de criptografia entre o usuário e o servidor web que ele está conectado. A tecnologia garante uma transmissão de dados sigilosa e anônima.
Por que criaram esses dois protocolos? Para deixar mais seguras as transações de informações que ocorrem na internet, como por exemplo, as compras que você faz através de e-commerces e pagamentos de contas nos sites de bancos.
O mecanismo utilizado para garantir essa proteção é baseado em chaves criptográficas públicas e privadas, onde a primeira utiliza certificados digitais reconhecidos por uma instituição competente e uma chave compartilhada entre website e usuários. Já a última é particular de cada usuário e website, onde cada uma das partes (computador e website) utiliza uma chave diferente e assim garante a identidade de quem está solicitando/enviando informações.
HTTPS é a implementação do SSL sobre o HTTP (HyperText Transfer Protocol, Protocolo de Transferência de Hipertexto na tradução livre), protocolo que efetivamente faz a internet funcionar, criando o termo HyperText Transfer Protocol Secure. Ele é facilmente localizado na barra de endereço de provedores de e-mail e bancos online.
Mas vamos focar no TLS. Ele foi lançado em 1999 e já possui várias versões, desde a 1.0 até a 1.3, e as versões 1.0 e 1.1 ficaram obsoletas com o passar dos anos. O protocolo TLS 1.0 está em uso há mais de duas décadas e o TLS 1.1 há mais de 14 anos, período suficiente para que hackers descobrissem suas vulnerabilidades, como o ataque BEAST (Browser Exploit Against SSL/TLS), que foi um ataque que permitiu a um invasor, através de “man-in-the-middle”, descobrir informações de uma sessão SSL / TLS 1.0 criptografada, explorando uma vulnerabilidade conhecida. Além disso, essas versões utilizam algoritmos criptográficos fracos, como MD5 e SHA1, os quais propiciam um ambiente favorável aos ataques do tipo SLOTH (Security Losses from Obsolete and Truncated Transcript Hashes).
Desta forma os quatros maiores navegadores, o Firefox, Safari, Chrome e o Edge, já descontinuaram esse protocolo em 2020. Então, não é recomendada a utilização dos protocolos 1.0 e 1.1, pois são protocolos antigos e com diversas vulnerabilidades conhecidas como dito anteriormente.
Aconselha-se que atualize para a versão TLS 1.2 que é a versão mais utilizada atualmente do protocolo, e se possível, atualize para a versão TLS 1.3, já disponível desde 2018 na internet. Desde 2019 em nosso WAF – “Web Application Firewall”, o TLS 1.3 pode operar ao lado do DNS sobre HTTPS (DoH). Esse protocolo vê a solicitação de URL / IP enviada através de uma conexão criptografada por HTTPS e a oculta no tráfego regular, o que significa que os bisbilhoteiros não conseguem identificar as solicitações. Portanto, eles não sabem quais sites o indivíduo está tentando acessar e não podem adulterar a conexão. Ele estabelece uma série de novas opções criptográficas para comunicação.
Se estiver com dúvidas, tem uma maneira simples de saber qual dos protocolos está sendo utilizado em um site. Confira abaixo:
1. Clique no link a seguir: https://ssltools.digicert.com/checker/views/checkInstallation.jsp
2. Informe o endereço do seu site;
3. Deixe marcado apenas a caixa “Server configuration” ou Configuração do servidor;
4. Clique em “Check” ou Verificar;
5. Veja os protocolos ativos e os que estão desativados.
Mas como protocolos mais antigos ainda são amplamente usados e suas vulnerabilidades exploráveis, as organizações devem aprimorar as medidas de segurança dos terminais e a experiência de suas equipes de segurança.
Diante de tudo que foi exposto, as empresas e seus administradores devem acelerar a adoção do TLS 1.3, a fim de melhorar a proteção de seus ativos o quanto antes. Lembrando também que nosso WAF ajuda diversas empresas hoje em dia na adoção dos melhores protocolos de criptografia, incluindo o TLS 1.3.