SSL Web segura OpenSSL es un proyecto de software libre basado en SSLeay, desarrollado por Eric Young y Tim Hudson. Consiste en un robusto paquete de herramientas de administración y bibliotecas relacionadas con la criptografía, que suministran funciones criptográficas a otros paquetes como OpenSSH y navegadores web (para acceso seguro a sitios HTTPS). Estas herramientas ayudan al sistema a implementar el Secure Sockets Layer (SSL), así como otros protocolos relacionados con la seguridad, como el Transport Layer Security (TLS). Este paquete de software es importante para cualquiera que esté planeando usar cierto nivel de seguridad en su máquina con un sistema operativo libre basado en GNU/Linux. OpenSSL también permite crear certificados digitales que pueden aplicarse a un servidor web, por ejemplo Apache. Por lo general, los puertos más comunes que se utilizan para servir sitios web son el 80 y el 443, pero ambos tienen una enorme diferencia. El primero (80 o http) transfiere información por medio de un navegador web o software con capacidades de conexión a internet por medio de ese protocolo, sin embargo todos los datos viajan desnudos, es decir que cualquier usuario con conocimientos de seguridad informática puede escuchar las conversaciones que ocurren entre el cliente y el servidor (muy parecido al viejo telnet) utilizando un software apropiado para esto. Por ningún motivo se debe desestimar el puerto 80, aunque sea vulnerable al ataque Man-In-The- Middle (hombre en el medio), ya que es muy útil para servir sitios web estáticos, servidor de archivos o mirror de repositorios para un sistema operativo, sin embargo no es apropiado para interactuar con el usuario y transferir información confidencial (correo electrónico, salas de chat, banca en línea, comercio electrónico ), porque toda la información puede ser interceptada. Para este propósito es muy útil utilizar el puerto 443 (https) que no es otra cosa que el puerto http seguro, es decir que las conversaciones entre el cliente y el usuario son cifradas aplicando firmas digitales, por lo tanto entender estos datos resulta casi imposible. Para identificar qué protocolo utiliza algún sitio web, simplemente debemos fijarnos en la barra de navegación. Puerto 80 La dirección de un sitio que transfiere la información por el puerto 80 luce de la siguiente manera: 1
Puerto 443 La dirección de un sitio web que utiliza el puerto 443, luce así: OpenSSL y Apache A continuación aplicaremos seguridad al servidor apache, para que pueda servir y escuchar por el puerto 443. Primero instalamos el equipamiento lógico necesario: Es necesario crear los certificados de seguridad, se recomienda crear un directorio para almacenarlos, y de esta manera tener orden en la estructura de directorios de nuestro sistema de archivos. Crearemos un certificado de seguridad válido durante 365 días (un año). A continuación debemos ingresar la información necesaria para nuestra firma digital (el texto en color es la información que ingresamos) 2
Editamos el archivo default-ssl para agregar el certificado a Apache aplicar el cifrado de información. Agregamos las líneas que aparecen en color rojo. Buscamos las líneas 35, 42 y 43; editamos tal como aparece en el siguiente recuadro: Guardamos los cambios y activamos SSL para apache: Ahora puede comprobar la navegación por el puerto 80 y 443, las diferencias son notables, y se muestran en las imágenes siguientes: Solo hacemos clic en el botón 3
Continuar de todos modos (ya explicaremos el porqué de este error). Notaremos que el usuario puede navegar por cualquiera de las dos modalidades (versión segura o no segura) pero es un error dejar habilitada esa posibilidad, lo ideal es re direccionar del puerto 80 al 443 (como lo hace Facebook) una vez que el usuario acceda al sitio web en cuestión. Esto se logra realizando una pequeña modificación en el servidor web que estemos utilizando. Veamos cómo lograrlo con Apache: Por qué Error SSL? No hay nada que temer, ya que la seguridad ha sido agregada al servidor Apache, lo que sucede en realidad es que el navegador no reconoce como válida la firma que está emitiendo el certificado de seguridad: Ver imagen a la izquierda. Caso contrario es con las compañías como Google, Facebook y Scotiabank (por mencionar algunos) ellos utilizan firmas digitales reconocidas por los navegadores, por eso la razón de la famosa franja verde y el ícono del candado. 4
Actividad de evaluación Nombre de la actividad Tipo de actividad Objetivo Instrucciones Fecha de entrega Criterios de evaluación Artículo de investigación sobre SSL Equipo (dos estudiantes) Conocer los distintos escenarios donde se aplica SSL. Redacta un artículo de al menos 3 páginas donde expliques cuál es el beneficio que aporta SSL, los escenarios en lo que se aplica y como obtener una firma digital válida. Domingo, último día a las 23:59 horas (formulario de subida de archivos)herramientas recomendadas:. Microsoft Word. Letra times new romans (12 puntos). Interlineado 1.5. Incluir imágenes (dando créditos al autor de las mismas si es posible). Originalidad, creatividad, ortografía. 5