1 / 19

PROTOCOLO HTTPS

PROTOCOLO HTTPS. HYPERTEXT TRANSFER PROTOCOL SECURE. HTTPS – O que é?. Https é um protocolo que trabalha numa subcamada do http. Tem requisitos de funcionalidade Criptografia Continua em Evolução / Transformação / Desenvolvimento. Https.

Download Presentation

PROTOCOLO HTTPS

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript


  1. PROTOCOLO HTTPS HYPERTEXT TRANSFER PROTOCOL SECURE

  2. HTTPS – O que é? • Https é um protocolo que trabalha numa subcamada do http. • Tem requisitos de funcionalidade • Criptografia • Continua em Evolução / Transformação / Desenvolvimento

  3. Https • Quais as vantagens do HTTPS em comparação com o HTTP? Segurança Confidencialidade Exemplo de uma comunicação segura Cliente - Servidor A informação ao este encriptada não será de facil leitura ou lógica

  4. Como é estabelecida a Comunicação

  5. Como Sei se estou Seguro? Podemos verificar se uma ligação é segura da seguinte forma 1 - Através da Nomenculatura Sites / Portais com Acesso seguro utilizam nomenculatura https:// 2- Verificação do Certificado

  6. Que Protocolos Utiliza HTTPS? SSL Secure Socket Layer ( Camada de Sockets Segura ) TLS Transport Layer Security ( Segurança da Camada de Transporte ) Mas o HTTPS tem tambem que cumprimir certos requisitos entre cliente e Servidor • 1- O usuárioconfiaque o navegadorimplementacorretamente HTTPS com autoridades de certificaçãopré-instaladasadequadamente; • 2 - O usuárioconfiaque as autoridadesverificadorassóirãoconfiarempáginaslegítimas, quenãopossuemnomesenganosos; • 3- A páginaacessadafornece um certificadoválido, o quesignificaqueelefoiassinadoporumaautoridade de certificaçãoconfiável; • 4 - O certificadoidentificacorretamente a página (porexemplo, quando o navegadoracessa "https://exemplo.com", o certificadorecebido • é realmente de "Exemplo Inc." e não de algumaoutraentidade). • 5- Ouo tráfegona internet é confiável, ou o usuáriocrêque a camada de encriptação do protocolo TLS/SSL é suficientementesegura • contra escutasilegais (eavesdropping).

  7. HTTPS ( Chave de Encriptação ) Para Haver comunicação entre o cliente e o Servidor, é necessário Gerar uma Chave de Encriptação. A mesma divide-se em duas Fases 1ª Fase 1º Computadores tem ambos que concordar com a encriptação 2º Cliente envia uma mensagem com Key RSA, Cipher e HAsh , Versão do certificado SSL e o Numero Aleatório. 3º Servidor retorna a mensagem ao cliente indicando ( Eu Escolha esta Chave, esta crifra e estes metodos de hash), o cliente diz isto é o que consigo fazer, ambos acordo em estabelecer conexão. • 2ª Fase • Servidor envia o certificado para o cliente, no qual consta a data de validade, com especificações de cifragem, então o cliente indica vamos como a encriptar para o servidor. • Ambos os computador calculam um chave secreta Master, usada para encriptar as comunicações. • - Servidor indica vamos começar a encriptar, identifica novamente as definicoes de cifragem, e indica ok vamos começar.

  8. Exemplificação Gráfica

  9. Exemplificação Gráfica

  10. Exemplificação Gráfica

  11. Exemplificação Gráfica

  12. Exemplificação Gráfica • Apartir deste momento as comunicações entre cliente e servidor estão segura

  13. Protocolo Criptográficos TLS Https utilizaprotocolo SSL ou TLS paracriptografara comunicação de dados. O TLS / SSL utilizaestacamadapara encapsulartodas as mensagens do protocolo

  14. Protocolo Criptográficos TLS - Erros Objectivo é sinalizar um erroouumasituaçãonãoesperadanaconexão. O protocolo de alerta define doiscampos: um nível de segurança e umadescrição do alerta

  15. Protocolo Criptográficos SSL É um protocolo criptográfico que confere segurança de comunicação na Internet para serviços como email (SMTP), navegação por páginas (HTTP) e outros tipos de transferência de dados. A primeira versão foi desenvolvida pela Netscape em 1994. O SSL versão 3.0 foi lançado em 1996, e serviu posteriormente de base para o desenvolvimento do TLS versão 1.0, um protocolo padronizado da IETF originalmente definido pelo RFC 2246. Grandes instituições financeiras como Visa, MasterCard, American Express, entre outras, aprovaram o SSL para comércio eletrônico seguro na Internet.

  16. Protocolo Criptográficos SSL – Algoritmos DES - Data Encryption Standard, é um algoritmo de criptografiausadopelogovernoamericano. DSA - Digital Signature Algorithm, parte do padrão de autentificação digital usadopelogovernoamericano. KEA - Key Exchange Algorithm, um algoritmousadopara a troca de chavespelogovernoamericano. MD5 - Message Digest Algorithm, algoritmo de criptografia digest. RC2 e RC4 - Rivest Encryption Ciphers, desenvolvidopela RSA Data Security. RSA - Algoritmo de chavepúblicaparacriptografia e autentificação. RSA Key Exchange - Algoritmoparatroca de chavesusadoem SSL baseado no algoritmo RSA. SHA-1 - Secure Hash Algorithm, função hash usadapelogovernoamericano. SKIPJACK - Algoritmo de chavesimétricaimplementado no hardware Fortezza. Triple-DES - é o DES aplicadotrêsvezes

  17. Historia e Evolução SSL / TLS 1)SSL 1.0, 2.0 and 3.0 The SSL protocolo desenvolvido pela Netscape.[6] Versao 1.0 nunca foi disponibilizado a versao 2.0 foi disponibilizada em Fevereiro 1995 but "contained a number of security flaws which ultimately led to the design of SSL version 3.0." SSL versiao3.0, disponibilizada em 1996. Novas versoes de SSL/TLS foram basedas no SSL 3.0. O esquisso do SSL 3.0 foi publicado em 1996 pela IETF com documento historico no RFC 6101. 2) TLS 1.0 TLS 1.0 definido no RFC 2246 em Janueiro de 1999 como sendo upgrade of SSL Version 3.0. “As stated in the RFC, "the differences between this protocol and SSL 3.0 are not dramatic, but they are significant to preclude interoperability between TLS 1.0 and SSL 3.0. " TLS 1.0 does include a means by which a TLS implementation can downgrade the connection to SSL 3.0, thus weakening security.” 3) TLS 1.1 definido no RFC 4346 em Abril 2006. É um update do TLS versão 1.0. Diferenças significativas que incluem: • Added protection against Cipher block chaining (CBC) attacks. The implicit Initialization Vector (IV) was replaced with an explicit IV. Change in handling of padding errors. • Support for IANA registration of parameters.

  18. Historia e Evolução SSL / TLS 4) TLS 1.2 TLS 1.2 defenido RFC 5246 em Agosto 2008. Baseado nas especificações TLS 1.1 As Maiores diferenças incluem • The MD5-SHA-1 combination in the pseudorandom function (PRF) was replaced with SHA-256, with an option to use cipher-suite specified PRFs. • The MD5-SHA-1 combination in the Finished message hash was replaced with SHA-256, with an option to use cipher-suite specific hash algorithms. However the size of the hash in the finished message is still truncated to 96-bits. • The MD5-SHA-1 combination in the digitally signed element was replaced with a single hash negotiated during handshake, defaults to SHA-1. • Enhancement in the client's and server's ability to specify which hash and signature algorithms they will accept. • Expansion of support for authenticated encryption ciphers, used mainly for Galois/Counter Mode (GCM) and CCM mode of Advanced Encryption Standard encryption. • TLS Extensions definition and Advanced Encryption Standard CipherSuites were added. TLS 1.2 defenido posteriormente no RFC 6176 em March 2011 removendo a compatibilidade com SSL tais como sessões TLS nunca negoceiam o uso de sockets do SSL versão 2.0.

  19. Https com Futuro? Empresas como o Google apostam em aplicações que utilizam https. Erros mais frequentes com SSL

More Related