SSL (Secure Sockets Layer) e' un protocollo aperto e non proprietario, utilizzato per stabilire comunicazioni sicure tra un Server ed un Client. La versione 3.0 del protocollo, rilasciata nel novembre 1996, e' un'evoluzione della precedente versione del 1994, SSL 2.0, e rappresenta al momento la soluzione più sicura ed efficace per lo scambio di informazioni cifrate. Questo sistema garantisce la protezione non solo dei numeri delle carte di credito, dei moduli on-line e dei dati finanziari, ma protegge dall'intercettazione, dalla decodifica e dalla contraffazione TUTTE le informazioni confidenziali, riservate o sensibili.

Quando avviene il collegamento tra un client ed un server (fase di handshaking), ha luogo la negoziazione di una 'chiave di sessione', che viene stabilita in base alle caratteristiche del client e del server, e che verrà utilizzata per cifrare i dati in transito tra client e server nel corso di una specifica sessione. Il grado di cifratura si misura in bit: quanto piu' e' lunga la chiave di sessione, tanto piu' e' forte e sicura la cifratura fornita. Una chiave di cifratura a 40 bit e' considerata 'standard', mentre la chiave di cifratura a 128 bit e' conosciuta come 'strong encryption'. La differenza fondamentale tra 40 bit e 128 bit è dunque la 'chiave di sessione', cioe la lunghezza della chiave attraverso la quale avviene la cifratura dei dati che transitano nel canale SSL, che si sovrappone a quello TCP/IP. Il vantaggio del SSL a 128 bit è dunque una cifratura piu forte di quella garantita dal SSL a 40 bit: per violare quest'ultimo è stato sufficiente un 'attacco a forza bruta' di 120 secondi, mentre per il certificato a 128 bit sarebbero necessari circa 150 anni.

La versione 3.1 del SSL è invece rappresentata, a tutti gli effetti, dal protocollo TLS 1.0 (Transport Layer Security), che è stato sottoposto all'attenzione del comitato per gli standards IETF (Internet Engineering Task Force) nel 1996. Il Transport Layer Security Working Group del IETF è il gruppo di lavoro incaricato di rendere conformi agli standards tutti i protocolli Transport Layer come SSL. In realtà SSL 3.0 e TLS 1.0 vengono comunemente considerati come un identico protocollo, e per questo, anche se l'obiettivo a lungo termine del TLS è quello di sostituirsi al SSL, è assolutamente garantita, per il futuro, la compatibilità all'indietro con SSL 3.0 ed addirittura con SSL 2.0: cfr. la Request For Comments a questa pagina, paragrafo 'Backward Compatibility With SSL'.

Se vuoi saperne di più su SSL, consulta le  GUIDE GRATUITE Trust Italia