TLS Transport Layer Security — la cifratura sotto HTTPS
Il protocollo che autentica i server e cifra il filo sotto la maggior parte dell'internet moderna.
Il protocollo crittografico che autentica i server e cifra il canale tra client e server sotto HTTPS, SMTP, IMAP, MQTT e la maggior parte dei protocolli applicativi moderni. Il successore di SSL — TLS 1.0 ha soppiantato SSL 3.0 nel 1999; la versione corrente è TLS 1.3 (RFC 8446, 2018). L'autenticazione si basa su una catena di certificati X.509 ancorati in un'autorità di certificazione pubblicamente fidata.
TLS è il default su tutto ciò che pubblichiamo.
Ogni superficie gestita da NordBastion — il sito marketing, il pannello cliente, l'API JSON, gli endpoint agents, la pagina di stato, il registry .well-known — risponde su TLS 1.2 o TLS 1.3 con una cipher suite moderna, con HSTS preloaded e HTTP-su-porta-80 reindirizzato incondizionatamente a HTTPS. Non c'è un percorso in chiaro verso alcuno dei nostri servizi, e non ce n'è stato uno dal lancio.
Per i carichi di lavoro dei clienti, TLS vive nelle sue mani: il VPS le dà una macchina Linux, e lei porta qualsiasi macchinario di certificato adatto all'applicazione — Let's Encrypt per quasi tutto, un certificato EV a pagamento se il suo auditor di compliance lo richiede, una CA privata per servizi interni. Gli uplink da 1 Gbps e il supporto AES-NI / VAES moderno sulle CPU sottostanti significano che il costo di terminazione TLS è essenzialmente rumore anche a velocità di linea sostenuta.
Due punti adiacenti che vale la pena segnalare. Primo, TLS non è cifratura end-to-end: un link TLS tra un client di chat e un server di chat protegge il filo, ma l'operatore del server può comunque leggere il messaggio. La voce di glossario E2EE traccia quella linea precisamente. Secondo, TLS autentica i server per certificato; non autentica l'umano che ha configurato il server. PGP riempie quel secondo ruolo per identità di livello fingerprint.
Le pagine che si appoggiano a questo termine.
Le domande che le persone pongono davvero.
Qual è la differenza tra SSL e TLS?
TLS è il nome moderno per ciò che è iniziato come SSL. I protocolli dell'era Netscape SSL 2.0 e SSL 3.0 sono stati rinominati e rielaborati in TLS 1.0 nel 1999, poi TLS 1.1, 1.2 e 1.3. I termini «certificato SSL», «SSL/TLS» e così via persistono nei testi di marketing, ma ogni deployment moderno sano sta facendo girare TLS 1.2 o TLS 1.3 sotto il cofano. SSL 2.0 e SSL 3.0 sono formalmente deprecati e non dovrebbero essere abilitati da nessuna parte.
Come ottengo un certificato TLS per un dominio sul mio VPS?
La risposta facile è Let's Encrypt: un'autorità di certificazione gratuita e automatizzata che emette certificati domain-validated da 90 giorni sul protocollo ACME. Il client Certbot (o qualsiasi di caddy, traefik, nginx-acme, acme.sh) gestisce emissione, rinnovo e configurazione del webserver con un comando. Non gestiamo una CA branded NordBastion — Let's Encrypt è la risposta giusta e la indichiamo senza modifiche.
TLS è la stessa cosa della cifratura end-to-end?
No. TLS protegge il link tra il client e il server. Se il server è un backend di chat o un provider di email, l'operatore di quel server può comunque leggere il messaggio — la cifratura TLS termina al loro gateway. La cifratura end-to-end è una proprietà separata in cui solo gli endpoint comunicanti detengono le chiavi; i server intermedi vedono solo ciphertext. La voce dedicata del glossario sulla cifratura end-to-end copre la distinzione in profondità.
L'API NordBastion richiede TLS?
Sì — ogni endpoint su api.nordbastion.com richiede TLS 1.2 o TLS 1.3 con cifrari moderni; le richieste HTTP sulla porta 80 reindirizzano a HTTPS senza eccezioni. Lo stesso vale per il sito marketing, il pannello cliente, la pagina di stato e le superfici .well-known.