POST DO

KEMEL

TECNOLOGIA

28

Cargo:

Evangelista de Tecnologia

Twitter:

@kemelzaidan

Facebook:

facebook.com/

kemelzaidan

KEMEL ZAIDAN

tecnologia por trás do SSL/TLS

é, provavelmente, o caso de uso

GH FULSWRJUDëD HP ODUJD HVFDOD

mais bem-sucedido até hoje.

A razão para tal só pode ser

sua praticidade: o usuário não

precisa executar nenhuma ação de sua parte

para que tudo simplesmente funcione.

1R HQWDQWR PXLWRV SURíVVLRQDLV

principalmente desenvolvedores, frequentemente

ignoram o assunto. Por isso, decidi escrever

algumas dicas rápidas de como se assegurar de

que seu servidor web está realmente seguro.

Use chaves de pelo menos 2048 bits

Chaves RSA de 1024 bits já estão obsoletas

há alguns anos. Se ainda tem alguma chave

de 1024 bits em produção, troque-a o quanto

antes por chaves RSA de 2048 bits ou ECDSA de

256 bits. Elas devem continuar seguras por um

ERP WHPSR 6H DFKDU TXH LVVR « SRXFR SUHíUD

chaves do tipo ECDSA. O problema desta última

é que há um pequeno número de clientes que

não são compatíveis, forçando a instalação

de chaves dos dois tipos para poder garantir a

retrocompatibilidade.

Use protocolos seguros

Hoje, há cinco protocolos disponíveis para

uso no SSL/TLS: SSLv2, SSLv3, TLSv1.0, TLSv1.1

e TLSv1.2. Contudo:

à 66/Y « LQVHJXUR H Q¥R GHYH VHU XWLOL]DGR

à 66/Y WDPE«P HVW£ REVROHWR 1¥R GHYH VHU

XVDGR R TXH FRQIXQGH PXLWDV SHVVRDV

à 7/6Y « TXDVH WRWDOPHQWH VHJXUR PDV

H[LJH XPD FXLGDGRVD FRQíJXUD©¥R SDUD DWLQJLU R

PHVPR Q¯YHO GH XVDELOLGDGH QR +773

à 7/6Y H 7/6Y Q¥R SRVVXHP SUREOHPDV

conhecidos até agora.

Dessa forma, o TLS 1.2 deve ser seu protocolo

padrão, pois oferece alguns recursos que estão

disponíveis apenas nessa versão. Se precisa

suportar clientes antigos, utilize apenas as versões

1.0 e 1.1 do TLS e desconsidere totalmente o SSL.

$WHQWH VH ¢V FRQíJXUD©·HV QHFHVV£ULDV SDUD TXH

R XVR GHVVDV YHUV·HV VHMD VHJXUR R VXíFLHQWH SDUD

proteger seus sites.

8VH FLIUDV FULSWRJU£ëFDV VHJXUDV

1R 66/ 7/6 DV FLIUDV FULSWRJU£íFDV V¥R XVDGDV

SDUD GHíQLU R TX¥R VHJXUD VHU£ D FRPXQLFD©¥R

entre cliente/servidor, sendo que as cifras

modernas são capazes de alterar a comunicação

GH WHPSRV HP WHPSRV GLíFXOWDQGR D HVFXWD GH

alguém não autorizado no meio do caminho.

Utilize apenas cifras que fornecem autenticação

H FULSWRJUDíD GH RX PDLV ELWV 4XDOTXHU FRLVD

abaixo disso deve ser evitada.

Controle a seleção das cifras

Geralmente, o servidor envia uma lista com

as cifras suportadas e o cliente responde com a

primeira alternativa compatível que encontrar.

É importante que sua lista esteja ordenada por

RUGHP GHFUHVFHQWH GH HíF£FLD

&ULSWRJUDíD « XP DVVXQWR H[WHQVR &RQíUD QR

site

https://cipherli.st

os parâmetros seguros de

FRQíJXUD©¥R SDUD GLYHUVRV VRIWZDUHV

A

[

MUITOS

PROGRAMADORES

IGNORAM A

CRIPTOGRAFIA;

É IMPORTANTE

ASSEGURAR QUE

SEU SERVIDOR

WEB ESTEJA

SEMPRE SEGURO

]

CRIPTOGRAFIAEM

SERVIDORESWEB

LW

*

http://drpeering.net/white-papers/Internet-Transit-Pricing-Historical-And-Projected.php

REVISTA LOCAWEB