¿Cuál es la diferencia entre la seguridad de la capa de transporte (TLS) y la capa de sockets seguros (SSL)? ¿Cuál podría ser la debilidad de ellos?
SSL es el nombre en clave de tres protocolos sucesivos que fueron diseñados por Netscape, en la década de 1990. El acrónimo significa "Secure Sockets Layer". Los tres protocolos son muy diferentes entre sí (SSL 1.0 nunca se publicó, pero se describió como "vergonzoso"; SSL 2.0 se publicó como borrador; y SSL 3.0 se modificó considerablemente para tratar de solucionar una serie de deficiencias en SSL 2.0).
Luego se le dio todo el concepto al IETF, quien se hizo responsable de mantener el protocolo SSL 3.0. Los protocolos posteriores se llamaron TLS , comenzando con TLS 1.0, luego 1.1 y 1.2. El cambio de nombre estaba destinado en parte a transmitir la idea de que el protocolo podría aplicarse a cualquier medio de transporte bidireccional, no solo a sockets de Internet; y en parte para evitar cualquier problema potencial con la reutilización del acrónimo "SSL" que podría haber sido una marca registrada de Netscape.
En cualquier caso, TLS 1.0, 1.1 y 1.2 son bastante similares a SSL 3.0 en su definición y funcionamiento; hay una brecha mucho mayor entre SSL 2.0 y SSL 3.0, que entre SSL 3.0 y TLS 1.2. Por lo tanto, tratar de mantener "SSL" y "TLS" separados unos de otros no tiene mucho sentido técnico. La diferencia en la terminología se relaciona con los conceptos administrativos.
Personalmente , tiendo a usar "SSL" como una designación de todo el concepto (abarcando así todas las versiones, desde SSL 1.0 a TLS 1.2), y "TLS" solo para designar las encarnaciones IETF de ese concepto. En muchos casos, escribo "SSL / TLS" cuando quiero evitar cualquier debate vano.
Vea también esta respuesta .
Lea otras preguntas en las etiquetas tls