Protocolos de Aplicação SSL, TLS, HTTPS, SHTTP

Transcrição

1 Protocolos de Aplicação SSL, TLS, HTTPS, SHTTP

2 SSL - Secure Socket Layer Protocolos criptográfico que provê comunicação segura na Internet para serviços como: Telnet, FTP, SMTP, HTTP etc. Provê a privacidade e a integridade de dados entre duas aplicações que estejam se comunicando pela Internet: autenticação das partes envolvidas; criptografia dos dados transmitidos entre as partes. Protocolos de Aplicação: SSL, TLS, HTTPS e SHTTP 2

3 SSL - Secure Socket Layer Desenvolvido pela Netscape Communications para transferir informações de modo seguro na internet: Servidor e o Cliente devem dá suporte ao protocolo. Utiliza como protocolo de transporte o TCP; Uma vez que o SSL reside no nível de socket, ele é independente das aplicações de mais alto nível considerado um protocolo de segurança independente do protocolo aplicacional; Protocolos de Aplicação: SSL, TLS, HTTPS e SHTTP 3

4 Como identificar um site que utiliza SSL? Quando um visitante se conecta a um servidor que está utilizando SSL: na barra de endereços, o protocolo passa a ser ; A maioria dos browsers mostram um tradicional cadeado; Quando este cadeado está sendo mostrado, o usuário passa a ter a tranqüilidade de saber que as informações fornecidas aquele website não poderão ser interceptadas no seu trajeto. Protocolos de Aplicação: SSL, TLS, HTTPS e SHTTP 4

5 SSL: Certificado Digital É um documento eletrônico que contém as informações da identificação de uma pessoa ou de uma instituição. Para obter um certificado digital é necessário fornecer informações sobre o detentor do Website, tais como endereço, documentação e pessoa de contato. Com estes dados, é gerado um par de chaves de criptografia, que irão garantir o processo de codificação dos dados. Chave Privada: fica somente no servidor Chave Pública: utilizada, para gerar um CSR (Certificate Signing Request). Protocolos de Aplicação: SSL, TLS, HTTPS e SHTTP 5

6 SSL: Certificado Digital Equivalente eletrônico das carteiras de identidade, passaportes e alvarás comerciais; Você apresenta um certificado digital eletronicamente para provar a sua identidade ou o seu direito de acessar informações ou serviços on-line; Com a utilização de um certificado digital de servidor seguro, você capacita seu site a realizar transações comerciais on-line autenticadas e criptografadas. Protocolos de Aplicação: SSL, TLS, HTTPS e SHTTP 6

7 SSL: Autoridade Certificadora (AC) Empresas que realizam a emissão dos certificados SSL. São responsáveis por validar a indentidade de um website. Ex: CertSign, Verisign; O que mais se aproxima de uma entidade normatizadora das autoridades certificadoras é o Webtrust Compliancy Program ; A maioria das AC's obedecem aos critérios da Webtrust. Protocolos de Aplicação: SSL, TLS, HTTPS e SHTTP 7

8 SSL: Autoridade Certificadora (AC) Uma AC tem a função de verificar a identidade de um usuário e associar a ele uma chave. Essas informações são então inseridas no certificado digital. Um certificado digital contém a chave pública do usuário e os dados necessários para informar sua identidade. Esse certificado pode ser distribuído na internet: Com isso, uma pessoa ou instituição que queira comprovar a assinatura digital de um documento pode obter o certificado digital correspondente. Protocolos de Aplicação: SSL, TLS, HTTPS e SHTTP 8

9 SSL: Funcionamento CLIENTE O Cliente Inicia a conexão O Cliente verifica o Certificado, extrai a Chave Pública do Servidor. Ao termino da autenticação o Cliente envia ao Servidor uma Chave de Sessão criptografada, utilizando a Chave Pública do Servidor SERVIDOR O Servidor responde mandando o Certificado Digital para o Cliente Assim que a Chave de Sessão é estabelecida, o Cliente e o Servidor podem trocar mensagens seguras Protocolos de Aplicação: SSL, TLS, HTTPS e SHTTP 9

10 TLS - Transport Layer Security Sucessor do SSL Substituto do SSL 3.0. O objetivo principal do TLS é providenciar privacidade e integridade. Protocolos de Aplicação: SSL, TLS, HTTPS e SHTTP 10

11 TLS: Arquitetura Protocolos de Registros TSL: TLS Record protocol; Usado para o encapsulamento protocolos de alto nível; de vários O protocolo de registros TLS localiza-se acima de algum protocolo de transporte confiável O protocolo de registro é usado para encapsulamento de vários protocolos de alto nível. Protocolos de Aplicação: SSL, TLS, HTTPS e SHTTP 11

12 TLS: Arquitetura Protocolo de comunicação. Protocolos de Handshake (TLS handshake protocol), de Alerta, de ChangeCypherSpec e de Aplicação; Permite ao Servidor e Cliente autenticar um ao outro e negociar o algoritmo e as chaves de criptografia antes de transmitir os protocolos de aplicações, ou de receber seu primeiro byte de dados. situam-se acima do TLS Record Protocol Protocolos de Aplicação: SSL, TLS, HTTPS e SHTTP 12

13 TLS: Objetivos Segurança criptográfica: Deve ser usado para estabelecer uma conexão segura entre um cliente e um servidor. Interoperabilidade: Programadores independentes devem ser capazes de desenvolver aplicações utilizando TLS que possam trocar parâmetros entre si sem conhecerem os códigos uma da outra, com sucesso. Protocolos de Aplicação: SSL, TLS, HTTPS e SHTTP 13

14 TLS: Objetivos Extensibilidade: Busca prover um framework no qual novas chaves públicas e métodos de encriptação possam ser incorporados, sem a necessidade de desenvolver novos protocolos. Relativa eficiência: Operações de criptografia costumam ter processamentos pesados, Por esta razão, o protocolo TLS incorpora um sistema de caching que reduz o numero de conexões necessárias e procura reduzir ao mínimo as atividades de rede. Protocolos de Aplicação: SSL, TLS, HTTPS e SHTTP 14

15 HTTPS - HTTP Secure HTTPS, é uma implementação do protocolo HTTP sobre uma camada SSL ou do TLS: essa camada adicional permite que os dados sejam transmitidos através de uma conexão criptografada e que se verifique a autenticidade do servidor e do cliente através de certificados digitais. O protocolo HTTPS é normalmente utilizado quando se deseja evitar que a informação transmitida entre o cliente e o servidor seja visualizada por terceiros, como por exemplo no caso de compras on-line. Protocolos de Aplicação: SSL, TLS, HTTPS e SHTTP 15

16 SHTTP Secure HTTP É uma extensão do protocolo http: provê transações seguras pela incorporação de criptografia e mecanismos de autenticação no protocolo HTTP permite transações seguras fim a fim entre cliente e servidor WWW. adiciona segurança baseada nas mensagens especificamente do protocolo HTTP no nível da aplicação Protocolos de Aplicação: SSL, TLS, HTTPS e SHTTP 16