Quina diferència hi ha entre SSL i TLS?

Històricament el mateix. SSL era el nom de Netscape; TLS és el successor estandarditzat per l'IETF a partir de 1999. L'ús col·loquial modern sovint anomena tot "SSL", tot i que TLS ha estat el protocol real durant més de 25 anys. Totes les connexions web segures actuals utilitzen TLS 1.2 o TLS 1.3.

Per què TLS 1.3 és més ràpid?

Redueix la connexió de mans de dos viatges d'anada i tornada a un (1-RTT) enviant la clau pública DH del client al primer missatge i agrupant la resposta del servidor amb tot l'altre estat d'encaix. La represa de la sessió fins i tot pot començar a enviar dades de l'aplicació amb el primer missatge (0-RTT). En un enllaç de latència de 100 ms, això és una millora de 200 ms percebuda a la primera connexió.

TLS 1.2 encara és segur el 2026?

Sí, quan s'ha configurat correctament: xifratge AES-GCM o ChaCha20-Poly1305, intercanvi de claus ECDHE per a secret directe, sense xifratge en mode CBC, sense RC4, sense alternativa SSL 3.0. TLS 1.3 elimina completament el risc de configuració eliminant les opcions dolentes.

Què és Encrypted Client Hello?

Una extensió que xifra el camp d'indicació del nom del servidor (SNI) a l'enllaç TLS. Sense ECH, la vostra xarxa pot veure tots els dominis que visiteu fins i tot quan la resta de la connexió estigui xifrada. ECH (i l'ESNI anterior) amaga aquesta última peça de metadades, completant la història de privadesa que TLS va començar el 1994.

És TLS quàntic segur?

Encara no per defecte, però s'està desplegant. La corba el·líptica estàndard X25519 Diffie-Hellman és teòricament trencable per un ordinador quàntic prou gran. El mode híbrid X25519MLKEM768 (per defecte de Chrome des de finals de 2024, suport creixent del navegador) combina algorismes clàssics i postquàntics perquè el trànsit es mantingui segur fins i tot contra futurs atacants quàntics.

TLS explicat: el protocol darrere de cada icona de cadenat

Transport Layer Security és la base criptogràfica d'HTTPS, correu electrònic modern, VPN, aplicacions de missatgeria i la majoria del trànsit d'Internet el 2026. Va començar com a SSL de Netscape el 1994 i des de llavors s'ha actualitzat silenciosament vuit vegades. Aquesta és l'explicació tècnica: com funciona l'encaixada de mans, què ha canviat TLS 1.3, els atacs que l'han donat forma i cap a on va a continuació.

El cos complet de l'article es proporciona en anglès a continuació.

SSL → TLS: la història cronològica

Netscape Communications va crear la primera implementació SSL el 1994 per assegurar les compres en línia al nou navegador Netscape Navigator. SSL 1.0 no es va publicar mai perquè tenia defectes crítics. SSL 2.0 es va enviar el febrer de 1995, es va trencar ràpidament i SSL 3.0 va seguir el 1996 com una reescriptura gairebé total. L'historial de versions des de:

TLS 1.0 (gener de 1999, RFC 2246) — essencialment SSL 3.1.
TLS 1.1 (abril de 2006, RFC 2246) protegit contra atacs explícits de CBC46 vectors d'inicialització.
TLS 1.2 (agost de 2008, RFC 5246) — xifratge AEAD afegit, SHA-256, algorismes de signatura configurables. Dominat durant una dècada.
TLS 1.3 (agost de 2018, RFC 8446): redisseny important. S'ha suprimit l'herència heretada, el secret avançat obligatori, la latència d'encaix de mans reduïda.

SSL 3.0 es va deixar formalment obsolet el juny de 2015 (RFC 7568) després de POODLE. TLS 1.0 i 1.1 van quedar obsolets el març de 2021 (RFC 8996). El 2026, els servidors moderns haurien de rebutjar qualsevol cosa per sota de TLS 1.2 i preferir TLS 1.3.

Com funciona realment la connexió de mans

Ecada connexió TLS comença amb una encaixada de mans que fa tres coses: acordar un conjunt de xifratge, provar la identitat del servidor i obtenir la resta de claus compartides. session.

TLS 1.2 encaixada de mans (el flux clàssic)

ClientHello: el client envia versions TLS compatibles, suites de xifratge i un nombre aleatori. nombre aleatori.
Certificate: el servidor envia la seva cadena de certificats X.509 perquè el client pugui verificar la identitat.
ServerKeyExchange: el servidor envia la seva clau pública Diffie-Hellman (per a ephemer intercanvi).
ClientKeyExchange: el client envia la seva clau pública DH. Ara les dues parts obtenen el mateix secret compartit.
Finished: ambdues parts confirmen l'encaixada enviant un MAC a tota la transcripció.

Són dos viatges complets d'anada i tornada abans que pugui fluir el primer byte de l'aplicació. En un enllaç de latència de 100 ms, cada connexió HTTPS nova consumeix 200 ms abans que qualsevol contingut real es mogui.

TLS 1.3 encaixada de mans (el flux modern)

TLS 1.3 col·lapsa la connexió de mans a un viatge d'anada i tornada en comú cas:

ClientHello: inclou la clau pública DH del client per a tots els grups de xifrat que el client admet.
ServerHello + tot la resta: el servidor escull un grup, envia el seu certificat i una clau pública, DH i un Fini vol.
El client valida i respon amb el seu propi Acabat.

Un viatge d'anada i tornada, dos vols. Amb la represa de la sessió (0-RTT), el client fins i tot pot començar a enviar dades amb el seu primer missatge, a costa d'algunes propietats de secretisme directe per a aquestes dades inicials. Va sortir:

Canvi de claus RSA estàtica (va trencar el secret).
CBC mode de xifrat (vulnerable a BEAST i Lucky Thirteen).
RC4 xifrat de flux (fa temps trencat). signatures.
Renegociació (substituït per l'autenticació posterior a l'encaix).
Compressió (classe d'atacs CRIME).
Paràmetres personalitzats de Diffie-Hellman (correcció de logjam). fins a 5 a TLS 1.3. Menys corda per penjar-se.
L'historial d'atac que va donar forma a TLS
- BEAST (2011): atac de text pla triat al mode CBC a TLS 1.0. S'ha solucionat a 1.1+ mitjançant IVs explícits.
- CRIME (2012): va utilitzar la compressió TLS per recuperar les galetes de sessió. S'ha solucionat desactivant la compressió.
- BREACH (2013) — Equivalent a la compressió a nivell HTTP de CRIME. Mitigat desactivant la compressió HTTP a les respostes sensibles.
- Heartbleed (abril de 2014) — Error d'OpenSSL, no un problema d'especificacions de TLS. Memòria del servidor filtrada, incloses les claus privades. Esdeveniment massiu de rotació de certificats al web.
- POODLE (octubre de 2014) — SSL 3.0 alternativa explotada. SSL 3.0 matat als navegadors en poques setmanes.
- Logjam (2015) — va demostrar que els petits grups Diffie-Hellman (especialment el Grup 2 de 1024 bits molt utilitzat a IPsec/IKE) estaven a l'abast dels atacants de l'estat-nació. Migració forçada de tota la indústria a grups més grans i corba el·líptica DH.
- Lucky Thirteen (2013): atac de temps al mode CBC. Correcció a nivell de biblioteca a OpenSSL i altres.
Ecada atac va endurir el protocol. Per TLS 1.3, la majoria d'aquestes classes són impossibles per disseny.
Autoritats de certificació i el problema de confiança L'autenticació
TLS es basa en autoritats de certificació (CA) en què els navegadors confien per defecte. Els tres primers per quota de mercat des del 2019: IdenTrust, DigiCert i Sectigo. Let's Encrypt, la CA gratuïta i automatitzada llançada el 2016, va impulsar l'adopció més gran de la història d'HTTPS.
La debilitat estructural: qualsevol CA de confiança pot emetre un certificat per a qualsevol domini. Una CA compromesa o coaccionada pot encunyar un certificat vàlid per al vostre banc. Certificate Transparency (CT) registres (registres públics només d'afegir de cada certificat mai emès) es van introduir per detectar-ho. Els navegadors ara requereixen que els certificats apareguin als registres de CT abans d'acceptar-los.
El fòrum CA/Browser va aprovar reduir la validesa màxima del certificat a 47 dies per al 2029, amb la qual cosa una CA compromesa pot fer malbé. fuites: el camp Indicació del nom del servidor (SNI) a ClientHello, que indica al servidor a quin nom d'amfitrió us esteu connectant perquè pugui presentar el certificat correcte. L'SNI és text sense format, de manera que els observadors de la xarxa aprenen tots els dominis que visiteu tot i que la resta de la connexió està xifrada. Cloudflare i Apple han enviat suport ECH; Firefox i Chrome el van llançar darrere de les banderes fins al 2024 i es mouen cap a l'activació predeterminada. Per als usuaris de xarxes hostils, ECH és la propera actualització de privadesa després de HTTPS.
DTLS universal: TLS per a UDP
DTLS (Datagram TLS) és la variant de TLS que funciona sobre UDP. Potencia WebRTC (vídeo/veu del navegador), la seguretat subjacent de QUIC i diversos protocols VPN. DTLS 1.3 (RFC 9147, 2022) coincideix amb les modernitzacions de xifratge i encaixada de mans de TLS 1.3.
L'intercanvi de claus TLS
Post-quantum TLS
Diffie-Hellman, la base del secret directe TLS, és trencable per un ordinador quàntic prou gran. La solució és l'intercanvi de claus híbrides que combina un algorisme clàssic (X25519) amb un candidat post-quàntic (normalment ML-KEM-768, abans conegut com a Kyber). 2025. El desplegament més ampli protegeix el trànsit d'avui contra l'atac de "collita ara, desxifrar més tard": un adversari que enregistra el trànsit xifrat avui, esperant ordinadors quàntics i després desxifrant històricament.
Com verificar el TLS que el vostre navegador està utilitzant realment
Feu clic a la barra d'adreces del vostre navegador. Els navegadors moderns mostren la versió del protocol, la suite de xifratge i els detalls del certificat. Si veieu TLS 1.0 o 1.1, el lloc està utilitzant configuracions obsoletes. Si veieu TLS 1.3 amb AES-256-GCM o ChaCha20-Poly1305, esteu a la criptografia moderna.
La tecnologia complementària HTTPS —coberta al nostre explicador d'HTTPS— és el que embolcalla el web en TLS. Els dos termes s'utilitzen sovint de manera intercanviable col·loquialment, però TLS és el protocol criptogràfic subjacent; HTTPS és només HTTP-over-TLS.

Preguntes freqüents

Quina diferència hi ha entre SSL i TLS?: Històricament el mateix. SSL era el nom de Netscape; TLS és el successor estandarditzat per l'IETF a partir de 1999. L'ús col·loquial modern sovint anomena tot "SSL", tot i que TLS ha estat el protocol real durant més de 25 anys. Totes les connexions web segures actuals utilitzen TLS 1.2 o TLS 1.3.
Per què TLS 1.3 és més ràpid?: Redueix la connexió de mans de dos viatges d'anada i tornada a un (1-RTT) enviant la clau pública DH del client al primer missatge i agrupant la resposta del servidor amb tot l'altre estat d'encaix. La represa de la sessió fins i tot pot començar a enviar dades de l'aplicació amb el primer missatge (0-RTT). En un enllaç de latència de 100 ms, això és una millora de 200 ms percebuda a la primera connexió.
TLS 1.2 encara és segur el 2026?: Sí, quan s'ha configurat correctament: xifratge AES-GCM o ChaCha20-Poly1305, intercanvi de claus ECDHE per a secret directe, sense xifratge en mode CBC, sense RC4, sense alternativa SSL 3.0. TLS 1.3 elimina completament el risc de configuració eliminant les opcions dolentes.
Què és Encrypted Client Hello?: Una extensió que xifra el camp d'indicació del nom del servidor (SNI) a l'enllaç TLS. Sense ECH, la vostra xarxa pot veure tots els dominis que visiteu fins i tot quan la resta de la connexió estigui xifrada. ECH (i l'ESNI anterior) amaga aquesta última peça de metadades, completant la història de privadesa que TLS va començar el 1994.
És TLS quàntic segur?: Encara no per defecte, però s'està desplegant. La corba el·líptica estàndard X25519 Diffie-Hellman és teòricament trencable per un ordinador quàntic prou gran. El mode híbrid X25519MLKEM768 (per defecte de Chrome des de finals de 2024, suport creixent del navegador) combina algorismes clàssics i postquàntics perquè el trànsit es mantingui segur fins i tot contra futurs atacants quàntics.

SSL → TLS: la història cronològica

Com funciona realment la connexió de mans

TLS 1.2 encaixada de mans (el flux clàssic)

TLS 1.3 encaixada de mans (el flux modern)

L'historial d'atac que va donar forma a TLS

Autoritats de certificació i el problema de confiança L'autenticació

DTLS universal: TLS per a UDP

L'intercanvi de claus TLS

Com verificar el TLS que el vostre navegador està utilitzant realment

Preguntes freqüents