SSL – Secure Socket Layer
Privacidade: Impossível espionar as informações trocadas.
Integridade: Impossível falsificar as informações trocadas.
Autenticação: Ele garante a identidade do programa, da pessoa ou empresa com a qual nos comunicamos.
SSL é um complemento ao TCP / IP e pode (potencialmente) proteger qualquer protocolo ou programa usando TCP/IP.
O SSL foi criado e desenvolvido pelas empresas Netscape e RSA Segurança em 1994.
Agora há versões de código aberto (Open Source), assim como um protocolo livre semelhante: TLS (ver mais abaixo).
Por que usar o SSL em vez de outro sistema?
Por que usar o OpenSSL?
SSL é padronizado
Existe uma versão livre do SSL: OpenSSL que você pode usar nos seus programas, sem pagar direitos autorais. OpenSSL é Open Source: todo mundo pode controlar e verificar o código-fonte (O segredo fica nas chaves de criptografia, não no algoritmo em si). SSL foi criptoanalizado: este sistema foi mais analisado do que todos os seus concorrentes. O SSL foi revisado por inúmeros especialistas em criptografia. Portanto, pode ser considerado seguro. Ele é muito conhecido: é fácil criar programas que interagirão com outros programas usando o SSL.
Muito cuidado com os sistemas proprietários: ao contrário do que se poderia pensar, a segurança de um sistema de criptografia não se baseia no segredo do algoritmo de criptografia, mas no segredo da chave. Devemos confiar apenas em sistemas que foram publicados e analisados.
Como funciona o SSL?
SSL é composto de dois protocolos:
SSL Handshake protocol: antes de comunicar, os dois programas SSL negociam chaves e protocolos de criptografia em comum.
SSL Record protocol: Uma vez negociados, eles criptografam todas as informações trocadas e realizam vários testes.
O aperto de mão SSL (“handshake”)
No início da comunicação o cliente e o servidor trocam:
A versão SSL com a qual eles querem trabalhar, a lista de métodos de criptografia (simétrico e assimétrico) e de assinatura que todo mundo conhece (com comprimentos de chaves), métodos de compressão que todo mundo conhece números aleatórios,certificados.
Cliente e servidor tentam usar o melhor protocolo de criptografia e diminuem até encontrar um protocolo comum para ambos. Depois de feito isso, eles podem começar a troca de dados.
A comunicação SSL (“record”)
Com o SSL, o remetente de dados:
Corta os dados em pacotes,
Comprime os dados,
assina criptograficamente os dados,
Criptografa os dados,
Envia os dados.
Aquele que recebe os dados:
Desencriptografa os dados,
Verifica a assinatura dos dados,
Descompacta os dados,
Remonta os pacotes de dados.
Como o SSL protege as comunicações?
O SSL usa um sistema de criptografia assimétrico (como o RSA ou o Diffie-Hellman).
Saiba mais aqui: ele é utilizado para criar a “master key” (chave principal), que criará chaves de sessão. Um sistema de criptografia simétrico (DES, 3DES, IDEA, RC4…) usando as chaves de sessão para criptografar os dados.Um sistema de assinatura criptográfico das mensagens (HMAC, utilizando o MD5, SHA…) para ter certeza de que as mensagens não estão corrompidas.
É durante o “handshake” SSL que o cliente e o servidor escolhem os sistemas comuns (criptografia assimétrica, simétrica, assinatura e comprimento de chave).
No seu navegador, você pode ver a lista dos sistemas utilizados, colocando o cursor sobre o cadeadinho, quando você está em uma página HTTPS.
Para que servem os certificados SSL?
Durante uma negociação (handshake) SSL, verifique a identidade da pessoa com quem você está se comunicando. Como ter certeza de que o servidor com quem você está falando é quem ele diz ser?
É aí que entram os certificados. Na hora de se conectar a um servidor web seguro, este enviará um certificado com o nome da empresa, endereço, etc. É uma espécie de carteira de identidade.
Como verificar a autenticidade desta carteira de identidade?
São as PKI (Public Key Infrastructure), das empresas externas (às quais você faz, implicitamente, confiança), que vão verificar a autenticidade do certificado.
(A lista destas PKI está incluída no seu navegador. Geralmente tem a VeriSign, a Thawte, etc.)
Estas PKI assinam criptograficamente os certificados das empresas (e elas são pagas por isso).
O uso do SSL: HTTPS, SSH, FTPS, POPS…
O SSL pode ser usado para proteger praticamente qualquer protocolo usando TCP / IP.
Alguns protocolos foram especialmente modificados para suportar o SSL:
HTTPS: é HTTP+SSL. Este protocolo está incluído em praticamente todos os navegadores, e permite que você (por exemplo) consulte suas contas bancárias na web de forma segura.
FTPS é uma extensão do FTP (File Transfer Protocol) usando SSL.
SSH (Secure Shell) é uma espécie de telnet (ou rlogin) seguro. Isso permite que você se conecte a um computador remoto com segurança e ter uma linha de comando. O SSH tem extensões para proteger outros protocolos (FTP, POP3, ou mesmo X Windows).É possível tornar seguros os protocolos, criando túneis SSL. Depois de criar o túnel, você pode fazer passar qualquer protocolo por ele (SMTP, POP3, HTTP, NNTP, etc). Todos os dados trocados são criptografados automaticamente.Isto pode ser feito com ferramentas como o STunnel ou o SSH
Com o protocolo POP3 que, normalmente, você usa para ler os seus e-mails, as senhas e as mensagens transitam claramente na Internet.
Suas senhas e mensagens podem ser roubadas.Com o túnel SSL, e sem alterar os softwares cliente e servidor , você pode garantir a recuperação de seus e-mails: ninguém pode roubar suas senhas ou e-mails, pois tudo que passa pelo túnel SSL é criptografado.Mas isso requer a instalação do STunnel no cliente e no servidor.
Alguns provedores de acesso oferecem este serviço, mas ainda é muito raro. Pergunte ao seu provedor de acesso se ele tem este tipo serviço instalado.
O STunnel permite assim a proteção da maioria dos protocolos baseados no TCP/IP, sem alterar os softwares . Ele é muito fácil de instalar.
Quais são as diferentes versões do SSL?
O SSL versão 3.0 é muito semelhante ao SSL versão 2.0 , mas o SSL v2.0 tem menos algoritmos de criptografia que o SSL V3.0.TLS v1.0 é um protocolo semelhante com base no SSL. As aplicações usando o TLS v1.0 pode se comunicar facilmente com as aplicações utilizando o SSL v3.0.
Então, quando vejo o cadeado, estou protegido? O cadeado te indica se as comunicações entre o seu browser e o site são seguras: ninguém pode espiá-los, e ninguém pode mexer nas comunicações. Mas ele não garante nada mais. Para tirar uma foto:HTTPS (o cadeado), é como um carro blindado: ele garante a segurança do transporte.Mas realmente só transporte.O carro blindado não garante que o banco usa bons cofres e que eles fecham bem.O carro blindado também não garante que o banco não desfalque ninguém. O carro blindado realmente só garante o transporte. É a mesma coisa para o HTTPS (o cadeadinho do browser).
Da mesma forma que criminosos podem contratar um carro blindado, piratas e bandidos podem muito bem criar um site seguro (com o cadeadinho).
Tenha cuidado e não confie em qualquer informação em qualquer site, com ou sem cadeado.
