Aislando Problemas de conexión en HTTPS. Nelson Toro Flores. Developer of Jalasoft

Transcripción

1 Aislando Problemas de conexión en HTTPS Nelson Toro Flores Developer of Jalasoft

2 Aislando Problemas de Conexión en HTTPS Introducción Por que existe HTTPS Encriptación Identificación Certificado SSL Cadena de Certificates Authorities Proceso de negociación para una conexión HTTPS Tipos de Certificados de acuerdo a su emision Certificado emitido por un External Certificate Authority Certificado emitido por un Internal Certificate Authoriy Self-Signed Certificate Conclusiones 2

3 Introducción Problema al conectarnos usando HTTPS desde un browser Pero desde una aplicación cliente la conexión es rechazada 3

4 Por que existe HTTPS? Necesidad de enviar información critica de manera segura desde el cliente hacia el servidor o viceversa. Evitar que la información sea legible por terceras personas. HTTPS = HTTP + SSL 4

5 Encriptación Simétrica Simétrica Hola Algoritmo de Encriptación Llave Privada Hola Algoritmo de Desencriptación hh4sh!jh*== hh4sh!jh*== 5

6 Problemas con la Encriptación Simétrica Por que medio seguro enviamos la llave privada. La llave privada usada en una sesión de conexión también puede ser usada en otras sesiones. Seria igual a que la llave de tu casa también pueda abrir las casas de tus vecinos. Server 6

7 Encriptación Asimétrica o de Llave Publica Es usado por los Certificados Da solución a los problemas de la encriptación simétrica. Los datos son encriptados por una llave publica conocido por todos los clientes y la desencriptación es realizada usando una llave privada de conocimiento único por el server. Server 7

8 Identificación Nos garantiza que el servidor con quien deseamos conectarnos es quien dice ser. Un Certificado SSL es como el carnet de identidad de un servidor y un Certificate Authority es la entidad que emite dicha identificación. El Certificate Authority es el responsable de comprobar la veracidad de la información proporcionada por el server al momento de la solicitud del Certificado SSL. Christopher Mintz-Plasse!= McLovin 8

9 Mala identificación proporcionada por el server Esta es una de las causas el porque una conexión HTTPS puede fallar. El servidor esta utilizando un Certificado SSL que no le pertenece. 9

10 Certificado SSL Un Certicado SSL es usado para identificar un único servidor y contiene información importante y necesaria para poder establecer una conexión HTTPS. Subject: Representa el nombre del servidor y esta definido en formato FQDN Issuer: Es emisor del Certificado, este podria ser un Certificate Authority. Expiration Time: El Certicate Authority emite certificados y asegura la identidad de su propietario solo por un tiempo determinado Public Key: La llave publica generada a partir de la llave privada del servidor que será usada por el cliente para encriptar la información de negociación. 10

11 Certificado expirado Es importante también revisar si nuestro certificado aun sigue siendo valido 11

12 Cadena de Certificate Authorities Un Certificado SSL es emitido por un Certificate Authority y este a la vez fue emitido por otro Certificate Authority de mayor nivel y así podemos llegar a algún Root Certificate Authority de alto nivel como VeriSign, formándose una cadena de certificados a ser validados. 12

13 Validación de Certificados en Cadena Los certificados SSL son instalados en Certificate Stores. Cuando se desea verificar la confiabilidad de un Certificado SSL primero se verifica si el Certificado esta instalado como un Certificado de confianza, si el el Certificado no es valido entonces se procede a verificar la confiabilidad del Certificado Emisor y así sucesivamente. 13

14 TIPOS DE CERTIFICADOS DE ACUERDO A SU EMISIÓN Certificado emitido por un External Certificate Authority. Certificado emitido por un Internal Certificate Authority. Self-Signed Certificates. 14

15 Mala Instalación del Internal Certificate Authority Un Internal Certificate Authority. Debe ser instalado en cada maquina del dominio para que de esta manera todos los certificados emitidos por este Certificate Authority sean validos y de confianza sin la necesidad de instalar el certificado de cada servidor especifico. 15

16 Mala Instalación del Self-Signed Certificate Un Self-Signed Certificate. Debe ser instalado como un certificado de confianza en cada maquina cliente de la aplicación. 16

17 Proceso de Negociación para una conexión HTTPS El cliente realiza una conexión TCP al puerto HTTPS por defecto. 443 Server 17

18 Proceso de Negociación para una conexión HTTPS El proceso Hand-Shake comienza Client Hello Message. Este mensaje contiene información sobre la versión de SSL soportada, métodos de compresión soportados, algoritmos de encriptación soportados y un dato generado aleatoriamente. Server 18

19 Proceso de Negociación para una conexión HTTPS Server Hello Message. Este mensaje contiene información sobre la versión de SSL que se usara, el método de compresión a ser usado, el algoritmo de encriptación a ser usado y también un dato generado aleatoriamente. Server 19

20 Proceso de Negociación para una conexión HTTPS Envió de Certicado SSL. El Server envía al cliente su Certicado conteniendo la llave publica. Server 20

21 Proceso de Negociación para una conexión HTTPS Validación del Certicado SSL. El cliente valida la identidad y confiabilidad del server. Server 21

22 Proceso de Negociación para una conexión HTTPS Server Hello Done Message. Para indicar que el proceso de negociacion a terminado por parte del server. Server 22

23 Proceso de Negociación para una conexión HTTPS Certicado verificado. Mensaje enviado por el cliente informando al server que la identificación ha sido exitosa. Server 23

24 Proceso de Negociación para una conexión HTTPS Change Cipher Spec Message from Client. El cliente envía este mensaje para notificar al server que el cliente empezara a enviar mensajes encriptados. Server 24

25 Proceso de Negociación para una conexión HTTPS Digest Message from client. El cliente envía un Digest generado con toda la información usada en la negociación. Server 25

26 Proceso de Negociación para una conexión HTTPS Change Cipher Spec Message from Server. El server envía este mensaje para notificar al cliente que el server empezara a enviar mensajes encriptados. Server 26

27 Proceso de Negociación para una conexión HTTPS Digest Message from server. El server envía un Digest generado con toda la información usada en la negociación. Finalizo el proceso Hand-Shake Server 27

28 Proceso de Negociación para una conexión HTTPS Llave privada. el cliente genera una nueva llave privada y encripta esta llave usando la llave publica que fue enviada en el certificado del server. Luego toda la información será encriptado usando esta nueva llave privada. Server 28

29 Q&A 29

30 30