6.OWASP Day Costa Rica Didier

7/24/2019 6.OWASP Day Costa Rica Didier

1/39

ertificados digitales SSL y TLS


2/39

About Me

Ing. Didier Fallas Rojas, Mag.

Director de Redes e Infraestructura

en InterNeo difaro!interneo.co"

T#itter$ didierfallas

Lin%edIn$ didierfallas


3/39

Agenda

Introducci&n SSL'TLS

Certificados digitales

(alide) certificados Detalles en los na*egadores

Ti+os de certificados

"+resas certificadoras Creando "i +ro+io certificado


4/39

Introducci&n al

SSL'TLS

SSL$ Secure Soc%ets Layer

TLS$ Trans+ort Layer Security

s una tecnolog-a ue establece unaconei&n segura entre un cliente

/*isitante de un sitio #eb0 y unser*idor /ser*idor #eb0 y 1acen uetoda la co"unicaci&n sea cifrada


5/39

Introducci&n al

SSL'TLS

Los referencia"os co"o un +rotocoloue +ro*ee un canal seguro entredos dis+ositi*os

l dise2o del SSL inicia en 3445 +orla e"+resa Netsca+eCo""unications y su dise2o estabaorientado eclusi*a"ente aa"bientes #eb


6/39

Introducci&n al

SSL'TLS

Cronolog-a

ITF$ Internetngineering Tas%Force. 6enera losdocu"entosreconocidos co"o

RFC. Muc1os,est7ndaresoficiales

TLS$ RFC 8859

Ref. SSL and TLS.Designing and

:uilding SecureSyste"s


7/39

Introducci&n al

SSL'TLS

SSL en la ca+a de +rotocolos$

Ref. SSL and TLS. Designing and :uilding Secure Syste"s


8/39

Introducci&n al

SSL'TLS

A+licaciones conocidas ue usan+rotocolo de seguridad$ ;eb

Correo

FT< /FT


9/39

=TT< sobre SSL

=TT< fue el +ri"er +rotocolo en usaruna ca+a de seguridad SSL

=TT< sobre SSL co">n"ente leconoce"os co"o =TT


10/39

=TT< sobre SSL


11/39

=TT< sobre SSL

La soluci&n es usar I< realesdedicadas +ara cada do"inio, +uesesta infor"aci&n si +uede ser

considerada en el flujo de datos SSL


12/39

ertificados digitales

@uB es un certificado digital

n certificado digital es undocu"ento electr&nico el cual *alidala identidad de una entidad /+ersona,e"+resa, +rogra"a0 y asocia esaidentidad a una lla*e +>blica


13/39


s un contenido de c&digoal"acenado en el ser*idor con el finde$

Ref. (erisign


14/39


Co"unicaci&n entre el ser*idor y elna*egador

Ref. (erisign


15/39


Co"+robaci&n de la *alide) de uncertificado

isten tres condiciones +ara ue elcertificado sea *7lido y ace+tado +orlos na*egadores

Si no se cu"+le alguna condici&n elna*egador alerta y reco"ienda nocontinuar con la sesi&n


16/39


3. No"bre co">n CN /Co""on Na"e0

Debe coincidir con la direcci&n RLue el usuario digita en el na*egador


17/39


Si el Co""on Na"e no coincide


18/39


Si a +esar de la ad*ertencia, ace+toingresar al sitio


19/39


(erificando el Co""on Na"e delcertificado co"o usuario


20/39


8. l certificado debe estar fir"ado +oruna C /ntidad Certificadora0 *7lida


21/39


ntidades certificadores registradas enlos na*egadores$

Firefodici&n E


22/39


1ro"eConfiguraci&n E Mostrarconfiguraci&n a*an)ada E =TT


23/39


?. l +eriodo de *alide) del certificado


24/39


Signos *isibles en el na*egador


25/39


Detalle en +era


26/39


sos$

Transacciones, se reuiere *alidar laautenticidad del due2o de un siste"a

Co"ercio electr&nico


27/39


S1ared Certificates

:rindados +or e"+resas 1os+edaje

No 1ay relaci&n con el no"bre deldo"inio

Mensajes de alerta en el na*egador

Cu"+len funci&n b7sica Se +ueden usar +ara asegurar

conei&n con una secci&n ad"in.


28/39


(alidaci&n no"bre de do"inio

Solo se *alida el no"bre del do"inio

No 1ay alerta +or +arte delna*egador

Ideal +ara asegurar co"unicaci&n

entre sitio #eb y *isitantes


29/39


(alidaci&n de organi)aci&n

l ente certificador *alida laeistencia de una organi)aci&n

M7s *alidaci&n E M7s seguridad

Son "uy usados


30/39


De *alidaci&n etendida /(0

To+ de los certificados

Mejor +roceso de *alidaci&n :arra *erde eclusi*a

Na*egadores "uestran no"bre

organi)aci&n


31/39


;ildcard

lti+les subdo"inios


32/39


MultiGdo"inio

Se +uede usar en ">lti+les do"inios,con no"bre igual de segundo ni*el ydiferente de +ri"er ni*el

je"+los$ "ido"inio.co"

"ido"inio.net

"ido"inio.org


33/39


"+resas certificadoras Co"odo$ 1tt+$''ssl.co"odo.co"'

DigiCert$ 1tt+$''###.digicert.co"'

nTrust$ 1tt+$''###.entrust.co"' 6eoTrust$ 1tt+$''###.geotrust.co"'ssl'

6oDaddy$ 1tt+$''###.godaddy.co"'ssl'sslGcertificates.as+ciH4J4

Net#or% Solutions$ 1tt+$''###.net#or%solutions.co"'SSLGcertificates'inde.js+

T1a#te$ 1tt+$''###.t1a#te.co"'

(eriSign$ 1tt+$''###.*erisign.co"'


34/39


Creando "i +ro+io certificado /selfGsigned certificates0

Ko soy "i +ro+ia autoridadcertificadora. Son los certificados+ri*ados

Los na*egadores no los reconocen yen*-an una alerta

Agregando "i ente certificador +araue no estB alertando


35/39


+enSSL

s una biblioteca de cifrado

Se deri*& de SSLeany La +ri"era *ersi&n liberada de

+enSSL fue en 344

=ay un +rogra"a con una a"+lia*ariedad de co"andos

1tt+$''###.o+enssl.org'
http://www.openssl.org/http://www.openssl.org/


36/39


Ingresando a "i sitio certificado


37/39


Si a*an)o a +esar del "ensaje dead*ertencia de na*egador


38/39


Agregando la autoridad de certificaci&nal na*egador


39/39


6racias

difaro!interneo.co"

T#itter$ didierfallas

Lin%edIn$ didierfallas

6.OWASP Day Costa Rica Didier

Documents

Transcript of 6.OWASP Day Costa Rica Didier