Escolar Documentos
Profissional Documentos
Cultura Documentos
en
la seguridad de aplicaciones web.
SSL/TLS: Introduccin
SSL/TLS: Certificados
Sospechosos habituales:
Que no haya errores en el nombre/dominio
Certificado an no vlido
Certificado caducado
Uso de certificados autofirmados
CA no conocidas
Certificado revocado
5/25
Tamaos de clave:
Usar ya claves de 2048 bits de clave
pblica*
Proteccin
Renovacin a ser posible anual
Proteccin de las claves en el servidor
Y all donde vayan a parar como:
Copias de seguridad
6/25
Nombres de DNS:
El certificado ha de contener TODOS los
nombres que permitan acceder al servicio
Es posible usar certificados tipo:
*.blogs.net.mx
7/25
8/25
SSL/TLS: Protocolos
SSLv2
tiene graves fallos de seguridad no debera
usarse nunca
SSLv3 y TLSv1
TLSv1 es la versin del IETF de SSLv3
Mayoritriamente soportado
TLSv1.1
Algunas mejoras
Bastante soportado
TLSv1.2
Ms mejoras
10/25
Pero an poco soportado
SSL/TLS: Renegociacin
11/25
12/25
SSL/TLS: Apache
Configurando Apache
SSLProtocolallSSLv2
SSLHonorCipherOrderon#apache2.1+
SSLCipherSuite!ADH:!DSS:!RC2:RC4
SHA:RC4MD5:HIGH:MEDIUM:+AES128:+3DES
13/25
14/25
16/25
SSL/TLS: Resumen
17/25
Avances en
seguridad web
18/25
X-Frame-Options
20/25
Content-Security-Policy (CSP)
21/25
Content-Security-Policy (CSP)- II
22/25
23/25