TLS Transport Layer Security — a criptografia por baixo do HTTPS
O protocolo que autentica servidores e cifra o fio por baixo da maior parte da internet moderna.
O protocolo criptográfico que autentica servidores e cifra o canal entre cliente e servidor por baixo de HTTPS, SMTP, IMAP, MQTT e da maioria dos protocolos de aplicação modernos. O sucessor do SSL — TLS 1.0 superou SSL 3.0 em 1999; a versão atual é TLS 1.3 (RFC 8446, 2018). A autenticação se apoia em uma cadeia de certificados X.509 ancorada em uma autoridade certificadora confiada publicamente.
TLS é o padrão em tudo que publicamos.
Toda superfície operada pela NordBastion — o site de marketing, o painel do cliente, a JSON API, os endpoints de agents, a página de status, o registro .well-known — responde sobre TLS 1.2 ou TLS 1.3 com cipher suite moderno, com HSTS preloaded e HTTP-na-porta-80 redirecionado incondicionalmente para HTTPS. Não há caminho em texto-claro para nenhum dos nossos serviços, e não houve desde o lançamento.
Para cargas de cliente, TLS vive nas suas mãos: o VPS te dá uma máquina Linux, e você traz a maquinaria de certificado que se adequa à aplicação — Let's Encrypt para quase tudo, um certificado EV pago se seu auditor de compliance exigir, uma CA privada para serviços internos. Os uplinks de 1 Gbps e o suporte moderno a AES-NI / VAES nas CPUs subjacentes significam que o custo de terminação TLS é essencialmente ruído mesmo em line rate sustentado.
Dois pontos adjacentes que vale sinalizar. Primeiro, TLS não é criptografia ponta a ponta: um link TLS entre um cliente de chat e um servidor de chat protege o fio, mas o operador do servidor ainda consegue ler a mensagem. O verbete de E2EE do glossário traça essa linha com precisão. Segundo, TLS autentica servidores por certificado; não autentica o humano que subiu o servidor. PGP cumpre esse segundo papel para identidade nível-fingerprint.
As páginas que se apoiam neste termo.
As perguntas que as pessoas realmente fazem.
Qual é a diferença entre SSL e TLS?
TLS é o nome moderno do que começou como SSL. Os protocolos SSL 2.0 e SSL 3.0 da era Netscape foram renomeados e refeitos em TLS 1.0 em 1999, depois TLS 1.1, 1.2 e 1.3. Os termos "certificado SSL", "SSL/TLS" e afins persistem em copy de marketing, mas todo deployment moderno saudável está rodando TLS 1.2 ou TLS 1.3 por baixo. SSL 2.0 e SSL 3.0 estão formalmente deprecados e não devem ser habilitados em lugar algum.
Como consigo um certificado TLS para um domínio no meu VPS?
A resposta fácil é Let's Encrypt: uma autoridade certificadora gratuita e automatizada que emite certificados domain-validated de 90 dias pelo protocolo ACME. O cliente Certbot (ou qualquer um entre caddy, traefik, nginx-acme, acme.sh) cuida da emissão, renovação e ligação ao webserver com um comando. Não rodamos uma CA com a marca NordBastion — Let's Encrypt é a resposta certa e apontamos para ele sem modificação.
TLS é a mesma coisa que criptografia de ponta a ponta?
Não. TLS protege o link entre o cliente e o servidor. Se o servidor é um backend de chat ou um provedor de e-mail, o operador desse servidor ainda consegue ler a mensagem — a cifração TLS termina no gateway deles. Criptografia ponta a ponta é uma propriedade separada em que apenas os endpoints de comunicação possuem as chaves; os servidores intermediários só veem ciphertext. O verbete dedicado do glossário para criptografia ponta a ponta cobre a distinção em profundidade.
A API da NordBastion exige TLS?
Sim — todo endpoint em api.nordbastion.com exige TLS 1.2 ou TLS 1.3 com cifras modernas; requisições HTTP na porta 80 redirecionam para HTTPS sem exceção. O mesmo vale para o site de marketing, o painel do cliente, a página de status e as superfícies .well-known.