IPV – Instituto Politécnico de Viseu

ESTGV – Escola Superior de Tecnologia e Gestão de Viseu

Departamento de Informática

Licenciatura de Engenharia Informática

Trabalho Prático Nº2: Segurança em Páginas WEB: SSL/TLS

Realizado em
Segurança Informática

Por
Cristina Santos 15247
Maria Beatriz 18726
Pedro Fernandes 18733
Tiago Fonseca 18718

Viseu, novembro 2021

 IPV – Instituto Politécnico de Viseu
ESTGV – Escola Superior de Tecnologia e Gestão de Viseu
Departamento de Informática

Licenciatura de Engenharia Informática

Trabalho Prático Nº2: Segurança em Páginas WEB: SSL/TLS

Realizado em
Segurança Informática

de
5 a 14 de novembro

Por
Cristina Santos 15247
Maria Beatriz 18726
Pedro Fernandes 18733
Tiago Fonseca 18718

Viseu, novembro 2021

 Índice

Índice
Índice ................................................................................................................................... III

Índice de Figuras ................................................................................................................... V

1 Introdução ...................................................................................................................... 1

1.1 Contextualização .................................................................................................... 1

1.2 Estrutura do Relatório ............................................................................................. 1

2 Execução do trabalho ..................................................................................................... 3

2.1 SSL/TLS (Secure Socket Layer/Transport Security Layer) ..................................... 3

2.2 Resolução dos exercícios ........................................................................................ 4

2.2.1 – Testar a utilização através do acesso ao site via endereço IP no browser IE ou

Mozilla do próprio PC ou de outros do laboratório ......................................................... 5

2.2.2 Descrever e interpretar as mensagens recebidas e a forma de aceder ao site ...... 5

2.2.3 O que lhe permite identificar o autor do site e o emissor do certificado?............ 6

2.2.4 Numa situação real, o que deveria fazer para que a certificação fosse válida? .... 6

2.2.5 Explique o processo (incluindo o fundamento teórico) através do qual pode passar
a confiar sempre no certificado do sítio web da ESTGV e/ou do Moodle/ESTGV .......... 6

2.3 Testes a realizar e outras questões a incluir no relatório .......................................... 6

2.3.1 Testar a utilização através do acesso ao site via endereço IP no browser Mozilla
do próprio PC ou de outros do laboratório via IE ou Mozilla .......................................... 6

2.3.2 Descrever e interpretar as mensagens recebidas ................................................ 7

2.3.3 O que lhe permite identificar o autor do site e o emissor do certificado?............ 8

3 Conclusão ........................................................................................................................... 9

III
 Índice de Figuras

Índice de Figuras
Figura 1 - Alteração do ficheiro host ...................................................................................... 4

Figura 2 – Exibição do site criado ......................................................................................... 5

Figura 3 – Acesso ao site pelo Mozilla Firefox ....................................................................... 7

Figura 4 – Erro apresentado ao aceder ao site ......................................................................... 7

Figura 5 – Informações de segurança ao site........................................................................... 8

V
 1 Introdução

1 Introdução
O presente Relatório enquadra-se no método de avaliação da cadeira Segurança Informática, da
Licenciatura em Engenharia Informática da Escola Superior de Tecnologia e Gestão de Viseu.

1.1 Contextualização

No âmbito desta disciplina, realizaremos trabalhos práticos, sendo este sobre segurança em
páginas web em SSL/TLS.

SSL significa Secure Sockets Layer, é um tipo de segurança digital que permite a comunicação
criptografada entre um site e um navegador. TLS é Transport Layer Security e certifica a
proteção de dados de maneira semelhante ao SSL.

1.2 Estrutura do Relatório

Este Relatório desenvolve-se em dois capítulos, que se descrevem sucintamente de seguida.

No capítulo dois é feita uma descrição de como foram abordados os exercícios apresentados e
os resultados obtidos.

No capítulo três é feita uma pequena conclusão onde são esclarecidos os resultados obtidos e
as dificuldades encontradas.

1
2 Execução do trabalho

2 Execução do trabalho
No presente capítulo iremos abordar o tema “Segurança em páginas web”, focando
especificamente no SSL/TLS (Secure Socket Layer / Transport Security Layer).
Inicialmente será apresentada uma breve descrição do tema, de seguida as questões, e
respetivas respostas, presentes no enunciado da ficha 2, disponibilizada pelo docente.

2.1 SSL/TLS (Secure Socket Layer/Transport Security

Layer)

A frequência com que os sites são atacados é maior do que se pensa, sendo uma das
principais preocupações das páginas web, manter a segurança e privacidade dos dados.
O SSL/TLS é um pacote de segurança utilizado com frequência na Internet. Criado pela
Netscape, tem como objetivo garantir a segurança na comunicação HTTP.
Este constrói uma ligação segura entre dois sockets, através de negociação de parâmetros
entre o cliente e o servidor, autenticação mútua entre o cliente e o servidor, encriptação de
dados na comunicação e proteção de dados para garantir a integridade.
O SSL/TLS tem como objetivos a comunicação Segura, a confiança, universalidade,
escalabilidade e a eficiência.

3
2 Execução do trabalho

2.2 Resolução dos exercícios

De forma a consolidar os conceitos lecionados nas aulas, são implementadas diversas

fichas, relativamente à segurança em páginas web. Para desenvolver a ficha 2 procedeu-se
à instalação de um site seguro no Windows 2022 Server, seguindo todos os passos
indicados no enunciado. Criar o site, requisitar o novo certificado, autenticar o certificado,
validar a requisição na CA, exportar e por fim associar ao site. Por fim, realizou-se diversos
testes, com o intuito de verificar o sucesso do procedimento anteriormente descrito.
Após realizarmos todos os passos do procedimento descrito no enunciado da ficha tentámos
aceder ao site criado, através do seu hostname, contudo sem sucesso. Para solucionar esta
situação, foi necessário alterar o ficheiro hosts (C:\Windows\System32\drivers\etc) e adicionar
o IP e hostname do site. Basicamente, esse ficheiro faz um mapeamento de redes dentro de um
computador e traduz um hostname para um IP, este método é utilizado para testes antes da
propagação dos DNS. Ao contrário do DNS, o arquivo hosts permite o controle direto do
administrador local de um computador.

Figura 1 - Alteração do ficheiro host

Posteriormente voltámos a tentar aceder ao site criado e já foi possível, de forma segura.
Concluímos assim que todo o processo foi realizado com sucesso, o certificado foi validado e
associado corretamente. A Figura 2 comprova o que foi mencionado anteriormente.

4
 2 Execução do trabalho

Figura 2 - Exibição do site criado

2.2.1 – Testar a utilização através do acesso ao site via endereço IP no

browser IE ou Mozilla do próprio PC ou de outros do laboratório

Ao aceder ao site via endereço IP foi demonstrado o ícone de um cadeado com uma barra por
cima e exibida uma mensagem de ligação insegura.

2.2.2 Descrever e interpretar as mensagens recebidas e a forma de aceder

ao site

Ao tentarmos aceder ao site é demonstrada uma mensagem que informa que estamos a
abandonar uma ligação segura para entrar numa ligação não seguro, pergunta se pretendemos
prosseguir. Caso selecionemos sim, seremos redirecionados para o website, apesar de continuar
a ser considerado não seguro.

5
2 Execução do trabalho

2.2.3 O que lhe permite identificar o autor do site e o emissor do

certificado?

O que permite identificar o autor do site e o emissor do certificado é as informações exibidas

quando se clica no ícone do cadeado junto ao endereço web. Nessa janela é possível verificar
para quem foi emitido o certificado e quem foi o emissor do mesmo.

2.2.4 Numa situação real, o que deveria fazer para que a certificação fosse
válida?

Numa situação real, deveríamos entrar em solicitar à autoridade certificadora de confiança a

validação do certificado.

2.2.5 Explique o processo (incluindo o fundamento teórico) através do

qual pode passar a confiar sempre no certificado do sítio web da
ESTGV e/ou do Moodle/ESTGV

Podemos confiar no sempre no certificado do sítio web da ESTGV e no moodle porque estes
encontram-se inseridos no servidor da escola. Além disso é possível analisar a confiança ao
clicar no ícone do cadeado e verificar que ambas são conceções seguras e com certificados
válidos.

2.3 Testes a realizar e outras questões a incluir no relatório

2.3.1 Testar a utilização através do acesso ao site via endereço IP no

browser Mozilla do próprio PC ou de outros do laboratório via IE ou
Mozilla

O endereço usado foi o 172.17.0.185, acedemos ao ubuntu, via máquina virtual, de seguida
introduzimos o endereço no Mozilla Firefox e foi possível visualizar a página, Figura 3.

6
 2 Execução do trabalho

Figura 3 - Acesso ao site pelo Mozilla Firefox

2.3.2 Descrever e interpretar as mensagens recebidas

Ao tentar aceder ao site, através do Firefox do Ubuntu, é apresentada a seguinte mensagem,

Figura 4Error! Reference source not found.. O certificado usado é válido e está associado
corretamente ao site, quando foi testado na máquina Windows no browser Internet Explorer
não ocorreu problemas. Poderá ser alguma configuração do browser que esteja a dificultar o
acesso, por precaução.

Figura 4 - Erro apresentado ao aceder ao site

7
2 Execução do trabalho

2.3.3 O que lhe permite identificar o autor do site e o emissor do

certificado?

Para identificar o autor do site e o emissor do certificado é necessário clicar sobre o ícone do
cadeado, em seguida surge um pop-up com breves informações e ao clicar nessas indicações
será apresentada a janela presente na Figura 5 com as informações de forma mais detalhada.
Sendo assim, é possível obter informações relativamente à identidade do website, do
certificado, entre outras.

Figura 5 - Informações de segurança ao site

8
 3 Conclusão

3 Conclusão
O desenvolvimento da presente ficha, permitiu-nos implementar uma funcionalidade,
fundamental e muitas vezes menosprezada, criar certificados e gerar websites seguros.

A tentativa de aceder a websites e encontrar avisos dos mesmos serem inseguros é algo mais
recorrente do que deveria, com o desenvolver desta ficha, a aplicação dos conhecimentos
lecionados e toda o trabalho de pesquisa envolvido, tornou-se exequível compreender alguns
ou os motivos mais comuns para que estas situações aconteçam.

O procedimento que envolve desde a criação, validação e posterior associação do certificado a

um website foi algo aliciante de desenvolver. Durante a conceção da ficha o grupo deparou-se
com algumas dificuldades, erros para os quais não tínhamos explicação, encontrar possíveis
soluções para concluir tudo com sucesso e assim foi, é possível afirmar que a ficha foi concluída
com sucesso e os conhecimentos nela envolvida retidos pelo grupo.