A Criptografia em Trânsito garante que os dados trocados entre um cliente e um servidor não possam ser lidos nem modificados enquanto atravessam a rede (Internet, LAN ou nuvem). Diferente da VPN (que protege a rede inteira), a criptografia em trânsito protege a Conexão Individual da aplicação.
1. TLS/SSL (Transport Layer Security)
O TLS (sucessor do SSL) é o protocolo padrão para a criptografia em trânsito.
- Ele reside entre a camada de Transporte (TCP) e a camada de Aplicação.
- O TLS provê as três bases da Segurança da Informação:
1. Confidencialidade: Dados cifrados.
2. Integridade: Mensagens assinadas digitalmente.
3. Autenticação: O servidor prova que é ele mesmo através de um Certificado Digital.
2. O Processo de Handshake TLS
Antes de qualquer dado ser enviado, ocorre uma negociação complexa:
1. Client Hello: O navegador envia versões do TLS e cifras que suporta.
2. Server Hello: O servidor escolhe a cifra e envia seu Certificado Digital.
3. Validação: O navegador verifica se o certificado foi emitido por uma Autoridade Certificadora (CA) confiável (ex: Let’s Encrypt).
4. Troca de Chaves: Cliente e servidor usam criptografia assimétrica para concordar sobre uma Chave de Sessão simétrica rápida.
5. Criptografia: O trânsito de dados começa usando a chave simétrica.
3. Implementações Comuns
- HTTPS: HTTP sobre TLS (Porta 443).
- SMTPS / IMAPS / POP3S: Protocolos de e-mail sobre TLS.
- MQTTS: Protocolo IoT sobre TLS.
- LDAPS: Acesso a diretórios (Active Directory) sobre TLS.
[!CAUTION]
Versões antigas do TLS (v1.0 e v1.1) e todas as versões do SSL (v1, v2, v3) são consideradas insegras e vulneráveis a ataques como POODLE e BEAST. Em redes corporativas, deve-se configurar os servidores para aceitar apenas TLS 1.2 e TLS 1.3.