Cos'è TLS/SSL?
TLS (Transport Layer Security) è un protocollo crittografico che fornisce riservatezza, integrità dei dati e autenticazione per le comunicazioni tra due parti su una rete. SSL (Secure Sockets Layer) è il suo predecessore deprecato; i moderni riferimenti a "SSL" quasi sempre intendono TLS.
Noto anche come: TLS, SSL, Transport Layer Security, Secure Sockets Layer, HTTPS
TLS è il protocollo alla base di HTTPS ed è il protocollo di sicurezza più diffuso su Internet. Un handshake TLS stabilisce un canale sicuro in diversi passaggi: client e server si accordano su una versione del protocollo e una cipher suite, il server presenta il suo certificato (verificato tramite PKI), eseguono uno scambio di chiavi per derivare chiavi di sessione condivise, e tutta la comunicazione successiva viene cifrata con quelle chiavi simmetriche. Il moderno TLS 1.3 ha semplificato questo a un singolo round trip.
Le proprietà di sicurezza offerte da TLS sono riservatezza (la cifratura impedisce l'intercettazione), integrità (i message authentication code rilevano le manomissioni) e autenticazione (i certificati verificano l'identità del server e, opzionalmente, del client). Senza TLS, i dati sulla rete sono visibili a chiunque possa osservare il traffico — ISP, operatori Wi-Fi, amministratori di rete e attaccanti che eseguono attacchi man-in-the-middle.
SSL (versioni dalla 1.0 alla 3.0) è stato deprecato a causa di vulnerabilità note come POODLE e BEAST. Anche TLS 1.0 e 1.1 sono deprecati. TLS 1.2 rimane ampiamente supportato, e TLS 1.3 (rilasciato nel 2018) è lo standard attuale, che offre sicurezza e prestazioni migliorate rimuovendo le cipher suite legacy e riducendo la latenza dell'handshake. Nonostante la deprecazione, "SSL" persiste come termine colloquiale — "certificato SSL" e "SSL termination" si riferiscono tipicamente a TLS nella pratica.
Come Vaulted usa TLS/SSL
Vaulted serve tutto il traffico tramite HTTPS, il che significa che ogni richiesta tra il tuo browser e il server è protetta da TLS. Questo cifra il testo cifrato e i metadati in transito e autentica che stai comunicando con il vero server Vaulted. Tuttavia, TLS da solo non proteggerebbe i tuoi segreti se il server potesse leggerli. Vaulted aggiunge la cifratura AES-256-GCM lato client sopra TLS, in modo che il server riceva solo testo cifrato che non può decifrare: TLS protegge il canale di trasporto, mentre la cifratura lato client protegge i dati stessi.