O que é TLS/SSL?
O TLS (Transport Layer Security) é um protocolo criptográfico que oferece privacidade, integridade dos dados e autenticação à comunicação entre duas partes por meio de uma rede. O SSL (Secure Sockets Layer) é seu predecessor obsoleto; as referências modernas a "SSL" quase sempre significam TLS.
Também conhecido como: TLS, SSL, Transport Layer Security, Secure Sockets Layer, HTTPS
O TLS é o protocolo por trás do HTTPS e é o protocolo de segurança mais implantado na internet. Um handshake TLS estabelece um canal seguro em vários passos: o cliente e o servidor concordam com uma versão do protocolo e um conjunto de cifras, o servidor apresenta seu certificado (verificado por meio da PKI), eles realizam uma troca de chaves para derivar chaves de sessão compartilhadas e toda a comunicação posterior é criptografada com essas chaves simétricas. O TLS 1.3 moderno simplificou isso para uma única ida e volta.
As propriedades de segurança que o TLS oferece são a confidencialidade (a criptografia impede a espionagem não autorizada), a integridade (os códigos de autenticação de mensagens detectam a adulteração) e a autenticação (os certificados verificam a identidade do servidor e, opcionalmente, a do cliente). Sem TLS, os dados na rede ficam visíveis para qualquer pessoa que possa observar o tráfego: provedores de internet, operadores de wi-fi, administradores de rede e atacantes que realizam ataques de intermediário.
O SSL (versões 1.0 a 3.0) ficou obsoleto devido a vulnerabilidades conhecidas como POODLE e BEAST. O TLS 1.0 e 1.1 também estão obsoletos. O TLS 1.2 ainda tem ampla compatibilidade, e o TLS 1.3 (publicado em 2018) é o padrão atual, que oferece maior segurança e desempenho ao eliminar conjuntos de cifras legados e reduzir a latência do handshake. Apesar de sua obsolescência, "SSL" persiste como termo coloquial: "certificado SSL" e "terminação SSL" costumam se referir a TLS na prática.
Como o Vaulted usa TLS/SSL
O Vaulted serve todo o tráfego por meio de HTTPS, o que significa que cada solicitação entre seu navegador e o servidor é protegida por TLS. Isso criptografa o texto cifrado e os metadados em trânsito e autentica que você está se comunicando com o servidor real do Vaulted. No entanto, o TLS sozinho não protegeria seus segredos se o servidor pudesse lê-los. O Vaulted sobrepõe a criptografia AES-256-GCM no lado do cliente ao TLS, de modo que o servidor recebe apenas texto cifrado que não pode descriptografar: o TLS protege o canal de transporte, enquanto a criptografia no lado do cliente protege os próprios dados.