Glossário
O que é TLS
Transport Layer Security — o protocolo que coloca o S em HTTPS, criptografando conexões entre clientes e servidores.
Transport Layer Security — TLS — é o protocolo que transforma conexões de rede em texto puro em criptografadas. É o S em HTTPS. Também é o que envolve os canais de controle de OpenVPN, o que VLESS Reality imita exatamente, e o que todo cliente de email seguro usa pra falar com servidores de mail.
A versão moderna atual é TLS 1.3, lançada em 2018. TLS 1.2 ainda existe na natureza pra compatibilidade mas está sendo descontinuado. TLS 1.0 e 1.1 foram deprecated; se um sistema requer, trate como quebrado.
O que TLS faz
Três coisas, em ordem:
- Autenticação. Verificar que você está realmente falando com quem pensa. Feito via certificados assinados por autoridades confiáveis.
- Troca de chave. Concordar num segredo compartilhado sem nunca mandar em texto puro. TLS 1.3 usa Diffie-Hellman sobre curvas elípticas (tipicamente X25519).
- Criptografia. Usar esse segredo compartilhado pra criptografar e autenticar todo byte que segue. TLS moderno usa ciphers AEAD (AES-256-GCM ou ChaCha20-Poly1305).
O handshake leva um round-trip em TLS 1.3, às vezes zero (0-RTT) pra sessões resumidas. É um grande ganho sobre os dois round-trips do TLS 1.2.
O que TLS não esconde
O conteúdo da conexão: criptografado. Com quem você está falando: visível.
Especificamente:
- O IP de destino. Roteamento exige.
- O domínio de destino via SNI. Mandado não criptografado na primeira mensagem do handshake.
- Timing e tamanho do tráfego. Mesmo com conteúdo criptografado, padrões são visíveis. Uma requisição de 100 bytes seguida por uma resposta de 5 MB parece diferente de stream de áudio constante.
Por isso "HTTPS em todo lugar" não equivale a privacidade total. Seu provedor não pode ler o que você mandou, mas sabe pra que site mandou.
TLS 1.3 vs TLS 1.2
As maiores mudanças no 1.3:
- Forward secrecy é mandatório. Ciphers velhos do TLS 1.2 sem forward secrecy foram removidos. Se a chave privada de um servidor vaza depois, tráfego gravado de sessões passadas não pode ser retroativamente descriptografado.
- Lista de cipher suite cortada. TLS 1.2 tem dezenas de cipher suites, muitos fracos. TLS 1.3 tem cinco. Menos pra misconfigurar, menos caminhos de downgrade.
- Handshake mais rápido. Um round-trip em vez de dois. Visível em toda carga de página.
- Handshake criptografado. Mais metadata do handshake é criptografada que no 1.2. Servidores não vazam mais seu certificado em texto puro durante negociação.
TLS 1.3 é o que todo site moderno deveria estar rodando. Ferramentas como SSL Labs te deixam verificar a versão TLS e configuração de um site.
TLS no contexto VPN
OpenVPN envolve um canal de controle baseado em TLS. O canal de controle cuida de autenticação e troca de chaves; o canal de dados usa as chaves derivadas desse handshake. Uma config moderna de OpenVPN usa TLS 1.3 + ECDSA + AES-256-GCM.
VLESS Reality não só usa TLS — faz um TLS 1.3 handshake real pra um site público real, depois carrega dados de VPN dentro da sessão estabelecida. TLS não é wrapper; é camuflagem que usa certificados reais e servidores reais.
WireGuard não usa TLS de jeito nenhum — tem seu próprio protocolo com criptografia fixa. Filosofia de design diferente.
Leia mais sobre certificados de curta duração pra como o lado de certificado afeta segurança VPN, ou a visão geral de segurança pro quadro maior.
Experimente o Fexyn grátis por 7 dias — três protocolos, TLS moderno onde aplica, criptografia fixa onde não.
Termos relacionados
Experimente o Fexyn grátis por 7 dias
App para Windows disponível agora em Beta. WireGuard, VLESS Reality e OpenVPN — sem logs de histórico de navegação, consultas DNS ou conteúdo de tráfego.
Ver preços