PROYECTO
DE GRADO
TRABAJO COLABORATIVO No 1
PRESENTADO POR
ELLIEN YULIETH RODRIGUEZ
JIMMY ROGELIO SOTO
DIOJAN RENE SANTIAGO MORENO
GRUPO
TUTOR
JAVIER
MEDINA
TECNOLOGÍA ESCOGIDA
Línea
de investigación: INFRAESTRUCTURA TECNOLOGICA Y SEGURIDAD EN REDES
ID_IDEA:
009
Tecnología:
Seguridad
en la web
Descripción:
HTTPS
es el protocolo de seguridad de facto para los buscadores web, sin embargo,
incidentes de seguridad reportados ampliamente como DigiNotar, #gotofail de
Apple, Heartbleed de OPENSSL entre otros, han evidenciado importantes
vulnerabilidades de este protocolo. La idea de esta propuesta es ahondar en las
vulnerabilidades del protocolo HTTPS para proponer estrategias para mejorar el
gobierno de HTTPS con el propósito de mitigar los riesgos de seguridad en
implementaciones sobre la web.
Para la utilización de
esta tecnología utilizaríamos los recursos más apropiado que hay en la
actualidad, para un mejor aprovechamiento en la seguridad de la web, dejemos
unos ejemplos apropiados que podemos tener para este proyecto;
En la web se debe
garantizar un protocolo SSL/TLS es una tecnología
relativamente simple. El fácil de implementar y casi siempre funciona
correctamente, salvo que tengamos algún inconveniente con la cadena de
certificación (por ejemplo, un certificado faltante, expirado, inválido, etc.).
·
Generar
claves privadas de 2048 bits son seguras
y deberían serlo por bastante tiempo. Si se poseen claves de 1024 bits,
reemplazarlas por claves de 2048 bits lo antes posible.
·
Seleccionar
una entidad certificante que se tome en serio el negocio de la seguridad.
·
La
seguridad de la firma del certificado depende de la fortaleza de la clave
privada firmante, y de la fortaleza de la función de hash utilizada.
·
Desde
SSL v3 en adelante, los clientes envían
listas de suites de cifrado soportadas, y los servidores eligen una
suite de la lista para negociar un canal de comunicación seguro
·
Utilización
de protocolos Seguros para su buen funcionamiento de la paginas y encriptación correcta.
·
Mitigar
los problemas conocidos en el mundo de la seguridad de la información es una
buena práctica para adaptarse rápidamente a las vulnerabilidades que van
descubriendo.
·
Generar
técnicas de optimización del rendimiento permite guardar los resultados de
operaciones criptográficas costosas en tiempo de ejecución, para ser
reutilizados por un período de tiempo.
·
Es
la minimizar el costo de latencia en los HTTPS , y es recomendable habilitar persistencia en las
conexiones HTTP (keep-alives), para que los usuarios puedan enviar varios
pedidos sobre una misma conexión TCP.
·
Habilitar
caché para recursos públicos HTTP.
·
Encriptar
el 100% del sitio, la única forma confiable de proteger las comunicaciones de
un sitio Web consiste en forzar la encriptación mediante TLS.
·
Mirar
como están contenidas estas páginas en su contenido mixto, ya son aquellas que
son transmitidas sobre TLS pero incluyen recursos (JavaScript, imágenes, hojas
de estilo) que son transmitidas de forma insegura (a través de HTTP plano).
·
Por
último es la verificar el algoritmo utilizado para la firma y el tipo de
mecanismo que utiliza para mantener la información de revocación (CRL y OCSP),
en la encriptación de las páginas web en servidores HTTPS.
¿Qué es SSL?
El
SSL (Security Socket Layer) y el TLS (Transport Layer Security) son los
protocolos de seguridad de uso común que establecen un canal seguro entre dos
ordenadores conectados a través de Internet o de una red interna. En nuestra
vida cotidiana, tan dependiente de Internet, solemos comprobar que las
conexiones entre un navegador web y un servidor web realizadas a través de una
conexión de Internet no segura emplean tecnología SSL. Técnicamente, el
protocolo SSL es un método transparente para establecer una sesión segura que
requiere una mínima intervención por parte del usuario final. Por ejemplo, el
navegador alerta al usuario de la presencia de un certificado SSL cuando se
muestra un candado o cuando la barra de dirección aparece en verde cuando se
trata de un certificado EV SSL con validación ampliada.
En este hecho reside el éxito del protocolo SSL: es una experiencia
sorprendentemente sencilla para los usuarios finales.
Certificados EV SSL con validación ampliada:
A
diferencia de las URL HTTP que comienzan con el protocolo "http://" y
emplean el puerto 80 por defecto, las URL HTTPS comienzan con el protocolo
"https://" y emplean el puerto 443 por defecto.
El
protocolo HTTP es inseguro y susceptible de ataques por parte de intrusos. Si
los datos confidenciales transmitidos (por ejemplo los datos de una tarjeta de
crédito o la información de usuario de una cuenta) cayesen en manos de la
persona equivocada, los intrusos podrían acceder a cuentas online y consultar información
confidencial. Cuando se emplea un protocolo HTTPS para enviar información a través
de un navegador, tal información aparece encriptada y protegida.
¿Cómo
se emplea la tecnología SSL en la práctica en las transacciones de comercio
electrónico, los procesos de trabajo online y
los servicios por Internet?
·
Para proteger transacciones realizadas
con tarjetas de banco.
·
Para ofrecer protección online a los accesos al sistema, la información confidencial transmitida
a través de formularios web o determinadas áreas protegidas de páginas web.
·
Para proteger el correo web y
las aplicaciones como el acceso web a Outlook o los servidores Exchange y
Office Communications.
·
Para proteger los procesos de
trabajo y la virtualización de aplicaciones como plataformas Citrix Delivery o
las plataformas de cloud computing.
·
Para proteger la conexión entre
un cliente de correo como Microsoft Outlook y un servidor de correo como
Microsoft Exchange.
·
Para proteger la transferencia
de archivos sobre HTTPS y servicios de FTP, como podrían ser las
actualizaciones de nuevas páginas por parte de un propietario de una página web
o la transmisión de archivos pesados.
·
Para proteger los accesos y la
actividad en paneles de control como Parallels o cPanel entre otros.
·
Para proteger el tráfico en una
intranet como es el caso de las redes internas, la función compartir archivos,
las extranets o las conexiones a bases de datos.
·
Para proteger los accesos a
redes y cualquier otro tráfico de red con VPNs de SSL como podrían ser los
servidores de acceso VPN o las aplicaciones como Citrix Access Gateway.
Todas estas aplicaciones
tienen algunos puntos en común:
·
Es necesario proteger la
confidencialidad de los datos transmitidos a través de Internet o de cualquier
otra red, ya que nadie desea que la información de su tarjeta de crédito, su
cuenta, sus contraseñas o sus datos personales queden expuestos en la Red.
·
Es necesario garantizar la
integridad de estos datos para evitar que una vez se han enviado los datos de
la tarjeta de crédito y se ha confirmado el importe, un hacker que haya podido interceptar la información no pueda cambiar la
cantidad cobrada y desviar el dinero.
·
Su empresa debe garantizar a
sus clientes o a los usuarios de su extranet la autenticidad de su identidad y
eliminar cualquier sombra de duda de que un tercero está suplantándole.
·
Su organización debe cumplir
las normativas regionales, nacionales e internacionales en materia de
privacidad, seguridad e integridad de los datos.
¿Qué es un certificado
SSL?
SSL
es un protocolo para cuyo uso es necesario contar con un certificado SSL. Un
certificado SSL es un pequeño archivo de datos que vincula digitalmente una
clave de encriptación con los datos de su empresa. Generalmente estos datos
son:
·
Su nombre de dominio, nombre de
servidor y nombre de host
·
El nombre y la ubicación de su
empresa
·
En determinados casos, la
información de contacto de su empresa
Para
poder iniciar sesiones SSL con navegadores, las organizaciones deben instalar
el certificado SSL en sus servidores web. Dependiendo del certificado SSL
solicitado, la organización deberá superar determinados niveles de inspección.
Tras la instalación, al intentar acceder a la página web https://www.dominio.com,
el certificado solicitará al servidor que establezca una conexión segura con el
navegador, lo que protegerá todo el tráfico entre el servidor web y el
navegador.
Para visualizar un certificado SSL, haga clic en el candado y seleccione
Visualizar certificado. Cada navegador mostrará el certificado de manera
ligeramente diferente, pero siempre incorporará la misma información.
Para
visualizar el contenido del certificado haga clic en la pestaña de Datos:
Haga
clic en la ruta de certificación para comprobar qué certificado raíz de
confianza se ha utilizado para emitir el certificado SSL:
¿Es relevante el certificado raíz?
Los
certificados SSL han de ser emitidos desde un certificado raíz de una Autoridad
de certificación de confianza. El certificado raíz debe estar presente en el
ordenador del usuario final para que el certificado SSL sea fiable. De lo
contrario, el navegador mostrará al usuario final mensajes de error advirtiendo
de la falta de confianza. En el caso del comercio electrónico, este tipo de
errores inducen a perder la confianza por completo en la página web. Por ello,
las páginas web que emplean certificados SSL no fiables se arriesgan a perder
la confianza, y por tanto las compras, de la mayoría de sus clientes.
Las
empresas como GlobalSign son Autoridades de Certificación reconocidas y de
confianza, ya que los distribuidores de navegadores y sistemas operativos como
Microsoft, Mozilla, Opera, Blackberry, Java. etc. confían en la legitimidad de
la Autoridad de Certificación GlobalSign y saben que GlobalSign únicamente
emite certificados SSL de la máxima confianza. Cuantas más aplicaciones,
dispositivos y navegadores cuenten con la raíz de la Autoridad de Certificación
registrada e integrada, mayor es el grado de "reconocimiento" y
seguridad que los certificados SSL pueden ofrecer.
Durante
más de diez años GlobalSign ha operado su programa GlobalSign Ready para la
integración de su certificado raíz. Este programa permite a sus ingenieros
informáticos de EE.UU., Reino Unido, Europa continental y Asia estar en
contacto directo y constante con los distribuidores de aplicaciones,
dispositivos y navegadores para garantizar que el certificado raíz de
GlobalSign está presente en todos los casos susceptibles de usar sesiones SSL.
Más información acerca de la compatibilidad del certificado
raíz de GlobalSign y las ventajas que brinda a su página web
El
certificado raíz de GlobalSign está diseñado para diversos fines, lo que lo
convierte en un certificado robusto, flexible y capaz de desempeñar cualquier
actividad relacionada con la Infraestructura de Clave Pública (PKI):
·
Garantiza la identidad de un
ordenador remoto
·
Demuestra su identidad ante
un ordenador remoto
·
Garantiza que el software
procede de su creador original
·
Protege el software contra
alteraciones tras su lanzamiento
·
Protege los correos
electrónicos
·
Permite firmar datos con la
hora actual
·
Permite encriptar los datos
en un disco
·
Permite proteger la
comunicación en Internet
·
Compatible con cualquier
método de emisión
·
Firma de OCSP
GlobalSign
ofrece aplicaciones, productos y servicios de PKI para todas y cada una de las
funciones de seguridad anteriores. Póngase en contacto con nosotros si su
organización cuenta con un proyecto de PKI específico.
REFERENCIAS
BIBLIOGRÁFICAS
¿Qué es SSL? Consultado
en Septiembre del 2015. Recuperado de https://www.globalsign.es/centro-informacion-ssl/que-es-ssl.html
¿Qué es un certificado
SSL? Consultado en Septiembre del 2015.
Recuperado de https://www.globalsign.es/centro-informacion-ssl/que-es-un-certificado-ssl.html
16-12-2014 Hardening de SSL/TLS en servidores HTTPS.
http://www.linuxito.com/seguridad/480-hardening-de-ssl-tls-en-servidores-https
Ivan Ristić(2014) SSL/TLS Deployment Best Practices https://www.ssllabs.com/downloads/SSL_TLS_Deployment_Best_Practices.pdf
No hay comentarios:
Publicar un comentario