SlideShare una empresa de Scribd logo

6.owasp day costa_rica_didier

Didier Fallas
Didier Fallas

Presentación "Certificados Digitales SSl y TLS" en relación al OWASP Day Costa Rica 2012, 06 de Noviembre de 2012- San José. https://www.owasp.org/index.php/OWASP_Day_Costa_Rica_2012

Tecnología
1 de 39
Descargar para leer sin conexión
Certificados digitales SSL y TLS
About Me • Ing. Didier Fallas Rojas, Mag. • Director de Redes e Infraestructura en InterNexo • difaro@internexo.com • Twitter: didierfallas • LinkedIn: didierfallas
Agenda • Introducción SSL/TLS • Certificados digitales • Validez certificados • Detalles en los navegadores • Tipos de certificados • Empresas certificadoras • Creando mi propio certificado
Introducción al SSL/TLS • SSL: Secure Sockets Layer • TLS: Transport Layer Security • Es una tecnología que establece una conexión segura entre un cliente (visitante de un sitio web) y un servidor (servidor web) y hacen que toda la comunicación sea cifrada
Introducción al SSL/TLS • Los referenciamos como un protocolo que provee un canal seguro entre dos dispositivos • El diseño del SSL inicia en 1994 por la empresa Netscape Communications y su diseño estaba orientado exclusivamente a ambientes web
Introducción al SSL/TLS • Cronología • IETF: Internet Engineering Task Force. Genera los documentos reconocidos como RFC. Muchos, estándares oficiales Ref. SSL and TLS. Designing and • TLS: RFC 2246 Building Secure Systems
Introducción al SSL/TLS • SSL en la capa de protocolos: Ref. SSL and TLS. Designing and Building Secure Systems
Introducción al SSL/TLS • Aplicaciones conocidas que usan protocolo de seguridad: – Web – Correo – FTP (FTPS) – VPN
HTTP sobre SSL • HTTP fue el primer protocolo en usar una capa de seguridad SSL • HTTP sobre SSL comúnmente le conocemos como HTTPS • Puerto 443
HTTP sobre SSL • Para los certificados digitales se requiere que el dominio tenga una IP dedicada • Si se usan servidores virtuales (virtual hosts), la forma de conocer el dominio a acceder es mediante el encabezado Host del protocolo HTTP, sin embargo, cuando se hace la negociación SSL, esta información no se ha enviado
HTTP sobre SSL • La solución es usar IP reales dedicadas para cada dominio, pues esta información si puede ser considerada en el flujo de datos SSL
Certificados digitales • ¿Qué es un certificado digital? • Un certificado digital es un documento electrónico el cual valida la identidad de una entidad (persona, empresa, programa) y asocia esa identidad a una llave pública
Certificados digitales • Es un contenido de código almacenado en el servidor con el fin de: Ref. Verisign
Certificados digitales • Comunicación entre el servidor y el navegador Ref. Verisign
Certificados digitales • Comprobación de la validez de un certificado • Existen tres condiciones para que el certificado sea válido y aceptado por los navegadores • Si no se cumple alguna condición el navegador alerta y recomienda no continuar con la sesión
Certificados digitales 1. Nombre común CN (Common Name) Debe coincidir con la dirección URL que el usuario digita en el navegador
Certificados digitales Si el Common Name no coincide
Certificados digitales Si a pesar de la advertencia, acepto ingresar al sitio
Certificados digitales Verificando el Common Name del certificado como usuario
Certificados digitales 2. El certificado debe estar firmado por una EC (Entidad Certificadora) válida
Certificados digitales Entidades certificadores registradas en los navegadores: Firefox Edición → Preferencias → Avanzado → Cifrado → Ver Certificados
Certificados digitales Chrome Configuración → Mostrar configuración avanzada → HTTPS/SSL → Administrar certificados → Autoridades
Certificados digitales 3. El periodo de validez del certificado
Certificados digitales Signos visibles en el navegador
Certificados digitales Detalle en Opera
Certificados digitales Usos: • Transacciones, se requiere validar la autenticidad del dueño de un sistema • Comercio electrónico • Páginas de autenticación • Cifrado de las comunicaciones
Certificados digitales Shared Certificates • Brindados por empresas hospedaje • No hay relación con el nombre del dominio • Mensajes de alerta en el navegador • Cumplen función básica • Se pueden usar para asegurar conexión con una sección admin.
Certificados digitales Validación nombre de dominio • Solo se valida el nombre del dominio • No hay alerta por parte del navegador • Ideal para asegurar comunicación entre sitio web y visitantes
Certificados digitales Validación de organización • El ente certificador valida la existencia de una organización • Más validación → Más seguridad • Son muy usados
Certificados digitales De validación extendida (EV) • Top de los certificados • Mejor proceso de validación • Barra verde exclusiva • Navegadores muestran nombre organización
Certificados digitales Wildcard • Permiten usar un único certificado en múltiples subdominios • Por ejemplo, se pueda usar para: – midominio.com – www.midominio.com – dev.midominio.com – compras.midominio.com
Certificados digitales Multi-dominio • Se puede usar en múltiples dominios, con nombre igual de segundo nivel y diferente de primer nivel • Ejemplos: – midominio.com – midominio.net – midominio.org
Certificados digitales Empresas certificadoras • Comodo: http://ssl.comodo.com/ • DigiCert: http://www.digicert.com/ • EnTrust: http://www.entrust.com/ • GeoTrust: http://www.geotrust.com/ssl/ • GoDaddy: http://www.godaddy.com/ssl/ssl- certificates.aspx?ci=8979 • Network Solutions: http://www.networksolutions.com/SSL- certificates/index.jsp • Thawte: http://www.thawte.com/ • VeriSign: http://www.verisign.com/
Certificados digitales Creando mi propio certificado (self- signed certificates) • Yo soy mi propia autoridad certificadora. Son los certificados privados • Los navegadores no los reconocen y envían una alerta • Agregando mi ente certificador para que no esté alertando
Certificados digitales OpenSSL • Es una biblioteca de cifrado • Se derivó de SSLeany • La primera versión liberada de OpenSSL fue en 1998 • Hay un programa con una amplia variedad de comandos • http://www.openssl.org/
Certificados digitales Ingresando a mi sitio certificado
Certificados digitales Si avanzo a pesar del mensaje de advertencia de navegador
Certificados digitales Agregando la autoridad de certificación al navegador
Certificados digitales ¡Gracias! difaro@internexo.com Twitter: didierfallas LinkedIn: didierfallas

Recomendados

Protocolo SSL
Protocolo SSLProtocolo SSL
Protocolo SSLDarwin Mejias
 
Curso basicoseguridadweb slideshare4
Curso basicoseguridadweb slideshare4Curso basicoseguridadweb slideshare4
Curso basicoseguridadweb slideshare4tantascosasquenose
 
Seguridad Para Servicios Web
Seguridad Para Servicios WebSeguridad Para Servicios Web
Seguridad Para Servicios WebJose Selman
 
Instalar un certificado ssl en WordPress
Instalar un certificado ssl en WordPressInstalar un certificado ssl en WordPress
Instalar un certificado ssl en WordPressSamuel Álvarez Sariego
 
Protección a nivel de transporte
Protección a nivel de transporteProtección a nivel de transporte
Protección a nivel de transporteManuel Fdz
 
Expo10
Expo10Expo10
Expo10Percy Quintanilla
 
Capa4 Modelo Osi
Capa4 Modelo OsiCapa4 Modelo Osi
Capa4 Modelo Osiguest58fcdf
 
En 20 minutos... Buenas Practicas SSL
En 20 minutos... Buenas Practicas SSLEn 20 minutos... Buenas Practicas SSL
En 20 minutos... Buenas Practicas SSLSección de Metodologías, Normalización y Calidad del Software
 

Recomendados

Protocolo SSL
Protocolo SSLProtocolo SSL
Protocolo SSLDarwin Mejias
 
Curso basicoseguridadweb slideshare4
Curso basicoseguridadweb slideshare4Curso basicoseguridadweb slideshare4
Curso basicoseguridadweb slideshare4tantascosasquenose
 
Seguridad Para Servicios Web
Seguridad Para Servicios WebSeguridad Para Servicios Web
Seguridad Para Servicios WebJose Selman
 
Instalar un certificado ssl en WordPress
Instalar un certificado ssl en WordPressInstalar un certificado ssl en WordPress
Instalar un certificado ssl en WordPressSamuel Álvarez Sariego
 
Protección a nivel de transporte
Protección a nivel de transporteProtección a nivel de transporte
Protección a nivel de transporteManuel Fdz
 
Expo10
Expo10Expo10
Expo10Percy Quintanilla
 
Capa4 Modelo Osi
Capa4 Modelo OsiCapa4 Modelo Osi
Capa4 Modelo Osiguest58fcdf
 
En 20 minutos... Buenas Practicas SSL
En 20 minutos... Buenas Practicas SSLEn 20 minutos... Buenas Practicas SSL
En 20 minutos... Buenas Practicas SSLSección de Metodologías, Normalización y Calidad del Software
 
Capa de transporte
Capa de transporteCapa de transporte
Capa de transporteCaterine Ramírez Aldana
 
Heartbleed
HeartbleedHeartbleed
Heartbleedancarjofasa
 
Gestión Segura de Dispositivos Móviles en la Empresa
Gestión Segura de Dispositivos Móviles en la EmpresaGestión Segura de Dispositivos Móviles en la Empresa
Gestión Segura de Dispositivos Móviles en la EmpresaGuillermo García Granda
 
Heartbleed
Heartbleed Heartbleed
Heartbleed Fabio García Ramírez
 
Presentación Maas360 - Sebastian Osterc
Presentación Maas360 - Sebastian OstercPresentación Maas360 - Sebastian Osterc
Presentación Maas360 - Sebastian OstercSebastian Osterc
 
Firmas y certificados digitales
Firmas y certificados digitalesFirmas y certificados digitales
Firmas y certificados digitalesTensor
 
Protocolos De Seguridad
Protocolos De SeguridadProtocolos De Seguridad
Protocolos De Seguridadguestc0218e
 
Manual de procedimientos tecnicas encriptacion certificados digitales y firma...
Manual de procedimientos tecnicas encriptacion certificados digitales y firma...Manual de procedimientos tecnicas encriptacion certificados digitales y firma...
Manual de procedimientos tecnicas encriptacion certificados digitales y firma...Myrian Medina
 
16 Administración Android - EMM
16 Administración Android - EMM16 Administración Android - EMM
16 Administración Android - EMMguidotic
 
ipsCA facturacion electronica 2009- 20090301
ipsCA facturacion electronica 2009- 20090301ipsCA facturacion electronica 2009- 20090301
ipsCA facturacion electronica 2009- 20090301IPSCA
 
IBM Webinar: ¿Está preparado para la revolución móvil en su empresa?
IBM Webinar: ¿Está preparado para la revolución móvil en su empresa?IBM Webinar: ¿Está preparado para la revolución móvil en su empresa?
IBM Webinar: ¿Está preparado para la revolución móvil en su empresa?IBM Digital Sales Colombia
 
Capa de transporte
Capa de transporteCapa de transporte
Capa de transportelaura1352
 
Seminario Firmas Y Certificados Digitales Pki
Seminario Firmas Y Certificados Digitales PkiSeminario Firmas Y Certificados Digitales Pki
Seminario Firmas Y Certificados Digitales PkiJose Zelada Peralta
 
Seguridad de redes inalámbricas - 2007
Seguridad de redes inalámbricas - 2007 Seguridad de redes inalámbricas - 2007
Seguridad de redes inalámbricas - 2007 Wardner Maia
 
Análisis heart bleed
Análisis heart bleedAnálisis heart bleed
Análisis heart bleedTelefónica Grandes Clientes
 
Presentación drp 2
Presentación drp 2Presentación drp 2
Presentación drp 2amayosqui
 
Protocolo SSL, TLS Y SSH
Protocolo SSL, TLS Y SSHProtocolo SSL, TLS Y SSH
Protocolo SSL, TLS Y SSHAbner Torres
 
Tecnologías libres para túneles y VPNs
Tecnologías libres para túneles y VPNsTecnologías libres para túneles y VPNs
Tecnologías libres para túneles y VPNsRodolfo Pilas
 
Protocolos de la capa de transporte
Protocolos de la capa de transporteProtocolos de la capa de transporte
Protocolos de la capa de transporteRicardo Sava
 
Presentacion drp sir junio 2012 v1
Presentacion drp sir junio 2012 v1Presentacion drp sir junio 2012 v1
Presentacion drp sir junio 2012 v1global bis
 
Infraestructura PKI
Infraestructura PKIInfraestructura PKI
Infraestructura PKIdsantosc
 
Certificados ssl loidy, katherine
Certificados ssl loidy, katherineCertificados ssl loidy, katherine
Certificados ssl loidy, katherineLoidy Chávez
 

Más contenido relacionado

Destacado

Gestión Segura de Dispositivos Móviles en la Empresa
Gestión Segura de Dispositivos Móviles en la EmpresaGestión Segura de Dispositivos Móviles en la Empresa
Gestión Segura de Dispositivos Móviles en la EmpresaGuillermo García Granda
 
Presentación Maas360 - Sebastian Osterc
Presentación Maas360 - Sebastian OstercPresentación Maas360 - Sebastian Osterc
Presentación Maas360 - Sebastian OstercSebastian Osterc
 
Firmas y certificados digitales
Firmas y certificados digitalesFirmas y certificados digitales
Firmas y certificados digitalesTensor
 
Protocolos De Seguridad
Protocolos De SeguridadProtocolos De Seguridad
Protocolos De Seguridadguestc0218e
 
Manual de procedimientos tecnicas encriptacion certificados digitales y firma...
Manual de procedimientos tecnicas encriptacion certificados digitales y firma...Manual de procedimientos tecnicas encriptacion certificados digitales y firma...
Manual de procedimientos tecnicas encriptacion certificados digitales y firma...Myrian Medina
 
16 Administración Android - EMM
16 Administración Android - EMM16 Administración Android - EMM
16 Administración Android - EMMguidotic
 
ipsCA facturacion electronica 2009- 20090301
ipsCA facturacion electronica 2009- 20090301ipsCA facturacion electronica 2009- 20090301
ipsCA facturacion electronica 2009- 20090301IPSCA
 
IBM Webinar: ¿Está preparado para la revolución móvil en su empresa?
IBM Webinar: ¿Está preparado para la revolución móvil en su empresa?IBM Webinar: ¿Está preparado para la revolución móvil en su empresa?
IBM Webinar: ¿Está preparado para la revolución móvil en su empresa?IBM Digital Sales Colombia
 
Capa de transporte
Capa de transporteCapa de transporte
Capa de transportelaura1352
 
Seminario Firmas Y Certificados Digitales Pki
Seminario Firmas Y Certificados Digitales PkiSeminario Firmas Y Certificados Digitales Pki
Seminario Firmas Y Certificados Digitales PkiJose Zelada Peralta
 
Seguridad de redes inalámbricas - 2007
Seguridad de redes inalámbricas - 2007 Seguridad de redes inalámbricas - 2007
Seguridad de redes inalámbricas - 2007 Wardner Maia
 
Presentación drp 2
Presentación drp 2Presentación drp 2
Presentación drp 2amayosqui
 
Protocolo SSL, TLS Y SSH
Protocolo SSL, TLS Y SSHProtocolo SSL, TLS Y SSH
Protocolo SSL, TLS Y SSHAbner Torres
 
Tecnologías libres para túneles y VPNs
Tecnologías libres para túneles y VPNsTecnologías libres para túneles y VPNs
Tecnologías libres para túneles y VPNsRodolfo Pilas
 
Protocolos de la capa de transporte
Protocolos de la capa de transporteProtocolos de la capa de transporte
Protocolos de la capa de transporteRicardo Sava
 
Presentacion drp sir junio 2012 v1
Presentacion drp sir junio 2012 v1Presentacion drp sir junio 2012 v1
Presentacion drp sir junio 2012 v1global bis
 

Destacado (20)

Capa de transporte
Capa de transporteCapa de transporte
Capa de transporte
 
Heartbleed
HeartbleedHeartbleed
Heartbleed
 
Gestión Segura de Dispositivos Móviles en la Empresa
Gestión Segura de Dispositivos Móviles en la EmpresaGestión Segura de Dispositivos Móviles en la Empresa
Gestión Segura de Dispositivos Móviles en la Empresa
 
Heartbleed
Heartbleed Heartbleed
Heartbleed
 
Presentación Maas360 - Sebastian Osterc
Presentación Maas360 - Sebastian OstercPresentación Maas360 - Sebastian Osterc
Presentación Maas360 - Sebastian Osterc
 
Firmas y certificados digitales
Firmas y certificados digitalesFirmas y certificados digitales
Firmas y certificados digitales
 
Protocolos De Seguridad
Protocolos De SeguridadProtocolos De Seguridad
Protocolos De Seguridad
 
Manual de procedimientos tecnicas encriptacion certificados digitales y firma...
Manual de procedimientos tecnicas encriptacion certificados digitales y firma...Manual de procedimientos tecnicas encriptacion certificados digitales y firma...
Manual de procedimientos tecnicas encriptacion certificados digitales y firma...
 
16 Administración Android - EMM
16 Administración Android - EMM16 Administración Android - EMM
16 Administración Android - EMM
 
ipsCA facturacion electronica 2009- 20090301
ipsCA facturacion electronica 2009- 20090301ipsCA facturacion electronica 2009- 20090301
ipsCA facturacion electronica 2009- 20090301
 
IBM Webinar: ¿Está preparado para la revolución móvil en su empresa?
IBM Webinar: ¿Está preparado para la revolución móvil en su empresa?IBM Webinar: ¿Está preparado para la revolución móvil en su empresa?
IBM Webinar: ¿Está preparado para la revolución móvil en su empresa?
 
Capa de transporte
Capa de transporteCapa de transporte
Capa de transporte
 
Seminario Firmas Y Certificados Digitales Pki
Seminario Firmas Y Certificados Digitales PkiSeminario Firmas Y Certificados Digitales Pki
Seminario Firmas Y Certificados Digitales Pki
 
Seguridad de redes inalámbricas - 2007
Seguridad de redes inalámbricas - 2007 Seguridad de redes inalámbricas - 2007
Seguridad de redes inalámbricas - 2007
 
Análisis heart bleed
Análisis heart bleedAnálisis heart bleed
Análisis heart bleed
 
Presentación drp 2
Presentación drp 2Presentación drp 2
Presentación drp 2
 
Protocolo SSL, TLS Y SSH
Protocolo SSL, TLS Y SSHProtocolo SSL, TLS Y SSH
Protocolo SSL, TLS Y SSH
 
Tecnologías libres para túneles y VPNs
Tecnologías libres para túneles y VPNsTecnologías libres para túneles y VPNs
Tecnologías libres para túneles y VPNs
 
Protocolos de la capa de transporte
Protocolos de la capa de transporteProtocolos de la capa de transporte
Protocolos de la capa de transporte
 
Presentacion drp sir junio 2012 v1
Presentacion drp sir junio 2012 v1Presentacion drp sir junio 2012 v1
Presentacion drp sir junio 2012 v1
 

Similar a 6.owasp day costa_rica_didier

Infraestructura PKI
Infraestructura PKIInfraestructura PKI
Infraestructura PKIdsantosc
 
Certificados ssl loidy, katherine
Certificados ssl loidy, katherineCertificados ssl loidy, katherine
Certificados ssl loidy, katherineLoidy Chávez
 
3. certificados y pki
3. certificados y pki3. certificados y pki
3. certificados y pki1 2d
 
Unidad 7 - Seguridad en Transacciones Comerciales
Unidad 7 - Seguridad en Transacciones ComercialesUnidad 7 - Seguridad en Transacciones Comerciales
Unidad 7 - Seguridad en Transacciones ComercialesWaldo Caballero
 
Material Clase Comercio Electrónico: Seguridad para el Comercio Electrónico
Material Clase Comercio Electrónico: Seguridad para el Comercio ElectrónicoMaterial Clase Comercio Electrónico: Seguridad para el Comercio Electrónico
Material Clase Comercio Electrónico: Seguridad para el Comercio Electrónicoliras loca
 
La web, navegacion y caracteristicas
La web, navegacion y caracteristicasLa web, navegacion y caracteristicas
La web, navegacion y caracteristicasamorezux
 
trabajo informatica
trabajo informaticatrabajo informatica
trabajo informaticapeluka30
 
by: Nely Cardona, Alison Hernandez.
by: Nely Cardona, Alison Hernandez.by: Nely Cardona, Alison Hernandez.
by: Nely Cardona, Alison Hernandez.Nely Cardona Flores
 
Certificados Digitales de Seguridad by:Nely Cardona, Alison Hernandez.
Certificados Digitales de Seguridad by:Nely Cardona, Alison Hernandez.Certificados Digitales de Seguridad by:Nely Cardona, Alison Hernandez.
Certificados Digitales de Seguridad by:Nely Cardona, Alison Hernandez.Nely Cardona Flores
 
Jhon Cabana
Jhon CabanaJhon Cabana
Jhon Cabanajacksito
 
Unidad 4: Servicio web (HTTP)
Unidad 4: Servicio web (HTTP)Unidad 4: Servicio web (HTTP)
Unidad 4: Servicio web (HTTP)carmenrico14
 
Firma Digital - Certificados SSL (Diego Laborero - MacroSeguridad)
Firma Digital - Certificados SSL (Diego Laborero - MacroSeguridad)Firma Digital - Certificados SSL (Diego Laborero - MacroSeguridad)
Firma Digital - Certificados SSL (Diego Laborero - MacroSeguridad)Logicalis Latam
 

Similar a 6.owasp day costa_rica_didier (20)

Infraestructura PKI
Infraestructura PKIInfraestructura PKI
Infraestructura PKI
 
Certificados ssl loidy, katherine
Certificados ssl loidy, katherineCertificados ssl loidy, katherine
Certificados ssl loidy, katherine
 
3. certificados y pki
3. certificados y pki3. certificados y pki
3. certificados y pki
 
Unidad 7 - Seguridad en Transacciones Comerciales
Unidad 7 - Seguridad en Transacciones ComercialesUnidad 7 - Seguridad en Transacciones Comerciales
Unidad 7 - Seguridad en Transacciones Comerciales
 
SSL
SSLSSL
SSL
 
Eap, PKI Y WPA.pptx
Eap, PKI Y WPA.pptxEap, PKI Y WPA.pptx
Eap, PKI Y WPA.pptx
 
Protocolos de seguridad informática
Protocolos de seguridad informáticaProtocolos de seguridad informática
Protocolos de seguridad informática
 
Protocolos ssl
Protocolos sslProtocolos ssl
Protocolos ssl
 
Material Clase Comercio Electrónico: Seguridad para el Comercio Electrónico
Material Clase Comercio Electrónico: Seguridad para el Comercio ElectrónicoMaterial Clase Comercio Electrónico: Seguridad para el Comercio Electrónico
Material Clase Comercio Electrónico: Seguridad para el Comercio Electrónico
 
La web, navegacion y caracteristicas
La web, navegacion y caracteristicasLa web, navegacion y caracteristicas
La web, navegacion y caracteristicas
 
Vpn
VpnVpn
Vpn
 
Seguridad j1v2
Seguridad j1v2Seguridad j1v2
Seguridad j1v2
 
trabajo informatica
trabajo informaticatrabajo informatica
trabajo informatica
 
Protocolos de internet
Protocolos de internetProtocolos de internet
Protocolos de internet
 
by: Nely Cardona, Alison Hernandez.
by: Nely Cardona, Alison Hernandez.by: Nely Cardona, Alison Hernandez.
by: Nely Cardona, Alison Hernandez.
 
Infraestructura PKI
Infraestructura PKIInfraestructura PKI
Infraestructura PKI
 
Certificados Digitales de Seguridad by:Nely Cardona, Alison Hernandez.
Certificados Digitales de Seguridad by:Nely Cardona, Alison Hernandez.Certificados Digitales de Seguridad by:Nely Cardona, Alison Hernandez.
Certificados Digitales de Seguridad by:Nely Cardona, Alison Hernandez.
 
Jhon Cabana
Jhon CabanaJhon Cabana
Jhon Cabana
 
Unidad 4: Servicio web (HTTP)
Unidad 4: Servicio web (HTTP)Unidad 4: Servicio web (HTTP)
Unidad 4: Servicio web (HTTP)
 
Firma Digital - Certificados SSL (Diego Laborero - MacroSeguridad)
Firma Digital - Certificados SSL (Diego Laborero - MacroSeguridad)Firma Digital - Certificados SSL (Diego Laborero - MacroSeguridad)
Firma Digital - Certificados SSL (Diego Laborero - MacroSeguridad)
 

Último

La Electricidad Y La Electrónica Trabajo Tecnología.pdf
La Electricidad Y La Electrónica Trabajo Tecnología.pdfLa Electricidad Y La Electrónica Trabajo Tecnología.pdf
La Electricidad Y La Electrónica Trabajo Tecnología.pdfjeondanny1997
 
Segunda ley de la termodinámica TERMODINAMICA.pptx
Segunda ley de la termodinámica TERMODINAMICA.pptxSegunda ley de la termodinámica TERMODINAMICA.pptx
Segunda ley de la termodinámica TERMODINAMICA.pptxMariaBurgos55
 
Explorando la historia y funcionamiento de la memoria ram
Explorando la historia y funcionamiento de la memoria ramExplorando la historia y funcionamiento de la memoria ram
Explorando la historia y funcionamiento de la memoria ramDIDIERFERNANDOGUERRE
 
tics en la vida cotidiana prepa en linea modulo 1.pptx
tics en la vida cotidiana prepa en linea modulo 1.pptxtics en la vida cotidiana prepa en linea modulo 1.pptx
tics en la vida cotidiana prepa en linea modulo 1.pptxazmysanros90
 
Mapa-conceptual-del-Origen-del-Universo-3.pptx
Mapa-conceptual-del-Origen-del-Universo-3.pptxMapa-conceptual-del-Origen-del-Universo-3.pptx
Mapa-conceptual-del-Origen-del-Universo-3.pptxMidwarHenryLOZAFLORE
 
GonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptxGonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptx241523733
 
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIAActividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA241531640
 
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptxCrear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptxNombre Apellidos
 
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdfPARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdfSergioMendoza354770
 
dokumen.tips_36274588-sistema-heui-eui.ppt
dokumen.tips_36274588-sistema-heui-eui.pptdokumen.tips_36274588-sistema-heui-eui.ppt
dokumen.tips_36274588-sistema-heui-eui.pptMiguelAtencio10
 
AREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPO
AREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPOAREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPO
AREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPOnarvaezisabella21
 
definicion segun autores de matemáticas educativa
definicion segun autores de matemáticas educativadefinicion segun autores de matemáticas educativa
definicion segun autores de matemáticas educativaAdrianaMartnez618894
 
Presentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidadPresentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidadMiguelAngelVillanuev48
 
Excel (1) tecnologia.pdf trabajo Excel taller
Excel (1) tecnologia.pdf trabajo Excel tallerExcel (1) tecnologia.pdf trabajo Excel taller
Excel (1) tecnologia.pdf trabajo Excel tallerValentinaTabares11
 
Google-Meet-como-herramienta-para-realizar-reuniones-virtuales.pptx
Google-Meet-como-herramienta-para-realizar-reuniones-virtuales.pptxGoogle-Meet-como-herramienta-para-realizar-reuniones-virtuales.pptx
Google-Meet-como-herramienta-para-realizar-reuniones-virtuales.pptxAlexander López
 
Tecnologias Starlink para el mundo tec.pptx
Tecnologias Starlink para el mundo tec.pptxTecnologias Starlink para el mundo tec.pptx
Tecnologias Starlink para el mundo tec.pptxGESTECPERUSAC
 
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptx
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptxEl_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptx
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptxAlexander López
 
Arenas Camacho-Practica tarea Sesión 12.pptx
Arenas Camacho-Practica tarea Sesión 12.pptxArenas Camacho-Practica tarea Sesión 12.pptx
Arenas Camacho-Practica tarea Sesión 12.pptxJOSEFERNANDOARENASCA
 
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.ppt
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.pptTEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.ppt
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.pptJavierHerrera662252
 
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxMedidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxaylincamaho
 

Último (20)

La Electricidad Y La Electrónica Trabajo Tecnología.pdf
La Electricidad Y La Electrónica Trabajo Tecnología.pdfLa Electricidad Y La Electrónica Trabajo Tecnología.pdf
La Electricidad Y La Electrónica Trabajo Tecnología.pdf
 
Segunda ley de la termodinámica TERMODINAMICA.pptx
Segunda ley de la termodinámica TERMODINAMICA.pptxSegunda ley de la termodinámica TERMODINAMICA.pptx
Segunda ley de la termodinámica TERMODINAMICA.pptx
 
Explorando la historia y funcionamiento de la memoria ram
Explorando la historia y funcionamiento de la memoria ramExplorando la historia y funcionamiento de la memoria ram
Explorando la historia y funcionamiento de la memoria ram
 
tics en la vida cotidiana prepa en linea modulo 1.pptx
tics en la vida cotidiana prepa en linea modulo 1.pptxtics en la vida cotidiana prepa en linea modulo 1.pptx
tics en la vida cotidiana prepa en linea modulo 1.pptx
 
Mapa-conceptual-del-Origen-del-Universo-3.pptx
Mapa-conceptual-del-Origen-del-Universo-3.pptxMapa-conceptual-del-Origen-del-Universo-3.pptx
Mapa-conceptual-del-Origen-del-Universo-3.pptx
 
GonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptxGonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptx
 
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIAActividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA
 
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptxCrear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
 
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdfPARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
 
dokumen.tips_36274588-sistema-heui-eui.ppt
dokumen.tips_36274588-sistema-heui-eui.pptdokumen.tips_36274588-sistema-heui-eui.ppt
dokumen.tips_36274588-sistema-heui-eui.ppt
 
AREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPO
AREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPOAREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPO
AREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPO
 
definicion segun autores de matemáticas educativa
definicion segun autores de matemáticas educativadefinicion segun autores de matemáticas educativa
definicion segun autores de matemáticas educativa
 
Presentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidadPresentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidad
 
Excel (1) tecnologia.pdf trabajo Excel taller
Excel (1) tecnologia.pdf trabajo Excel tallerExcel (1) tecnologia.pdf trabajo Excel taller
Excel (1) tecnologia.pdf trabajo Excel taller
 
Google-Meet-como-herramienta-para-realizar-reuniones-virtuales.pptx
Google-Meet-como-herramienta-para-realizar-reuniones-virtuales.pptxGoogle-Meet-como-herramienta-para-realizar-reuniones-virtuales.pptx
Google-Meet-como-herramienta-para-realizar-reuniones-virtuales.pptx
 
Tecnologias Starlink para el mundo tec.pptx
Tecnologias Starlink para el mundo tec.pptxTecnologias Starlink para el mundo tec.pptx
Tecnologias Starlink para el mundo tec.pptx
 
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptx
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptxEl_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptx
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptx
 
Arenas Camacho-Practica tarea Sesión 12.pptx
Arenas Camacho-Practica tarea Sesión 12.pptxArenas Camacho-Practica tarea Sesión 12.pptx
Arenas Camacho-Practica tarea Sesión 12.pptx
 
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.ppt
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.pptTEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.ppt
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.ppt
 
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxMedidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
 

6.owasp day costa_rica_didier

  • 2. About Me • Ing. Didier Fallas Rojas, Mag. • Director de Redes e Infraestructura en InterNexo • difaro@internexo.com • Twitter: didierfallas • LinkedIn: didierfallas
  • 3. Agenda • Introducción SSL/TLS • Certificados digitales • Validez certificados • Detalles en los navegadores • Tipos de certificados • Empresas certificadoras • Creando mi propio certificado
  • 4. Introducción al SSL/TLS • SSL: Secure Sockets Layer • TLS: Transport Layer Security • Es una tecnología que establece una conexión segura entre un cliente (visitante de un sitio web) y un servidor (servidor web) y hacen que toda la comunicación sea cifrada
  • 5. Introducción al SSL/TLS • Los referenciamos como un protocolo que provee un canal seguro entre dos dispositivos • El diseño del SSL inicia en 1994 por la empresa Netscape Communications y su diseño estaba orientado exclusivamente a ambientes web
  • 6. Introducción al SSL/TLS • Cronología • IETF: Internet Engineering Task Force. Genera los documentos reconocidos como RFC. Muchos, estándares oficiales Ref. SSL and TLS. Designing and • TLS: RFC 2246 Building Secure Systems
  • 7. Introducción al SSL/TLS • SSL en la capa de protocolos: Ref. SSL and TLS. Designing and Building Secure Systems
  • 8. Introducción al SSL/TLS • Aplicaciones conocidas que usan protocolo de seguridad: – Web – Correo – FTP (FTPS) – VPN
  • 9. HTTP sobre SSL • HTTP fue el primer protocolo en usar una capa de seguridad SSL • HTTP sobre SSL comúnmente le conocemos como HTTPS • Puerto 443
  • 10. HTTP sobre SSL • Para los certificados digitales se requiere que el dominio tenga una IP dedicada • Si se usan servidores virtuales (virtual hosts), la forma de conocer el dominio a acceder es mediante el encabezado Host del protocolo HTTP, sin embargo, cuando se hace la negociación SSL, esta información no se ha enviado
  • 11. HTTP sobre SSL • La solución es usar IP reales dedicadas para cada dominio, pues esta información si puede ser considerada en el flujo de datos SSL
  • 12. Certificados digitales • ¿Qué es un certificado digital? • Un certificado digital es un documento electrónico el cual valida la identidad de una entidad (persona, empresa, programa) y asocia esa identidad a una llave pública
  • 13. Certificados digitales • Es un contenido de código almacenado en el servidor con el fin de: Ref. Verisign
  • 14. Certificados digitales • Comunicación entre el servidor y el navegador Ref. Verisign
  • 15. Certificados digitales • Comprobación de la validez de un certificado • Existen tres condiciones para que el certificado sea válido y aceptado por los navegadores • Si no se cumple alguna condición el navegador alerta y recomienda no continuar con la sesión
  • 16. Certificados digitales 1. Nombre común CN (Common Name) Debe coincidir con la dirección URL que el usuario digita en el navegador
  • 17. Certificados digitales Si el Common Name no coincide
  • 18. Certificados digitales Si a pesar de la advertencia, acepto ingresar al sitio
  • 19. Certificados digitales Verificando el Common Name del certificado como usuario
  • 20. Certificados digitales 2. El certificado debe estar firmado por una EC (Entidad Certificadora) válida
  • 21. Certificados digitales Entidades certificadores registradas en los navegadores: Firefox Edición → Preferencias → Avanzado → Cifrado → Ver Certificados
  • 22. Certificados digitales Chrome Configuración → Mostrar configuración avanzada → HTTPS/SSL → Administrar certificados → Autoridades
  • 23. Certificados digitales 3. El periodo de validez del certificado
  • 26. Certificados digitales Usos: • Transacciones, se requiere validar la autenticidad del dueño de un sistema • Comercio electrónico • Páginas de autenticación • Cifrado de las comunicaciones
  • 27. Certificados digitales Shared Certificates • Brindados por empresas hospedaje • No hay relación con el nombre del dominio • Mensajes de alerta en el navegador • Cumplen función básica • Se pueden usar para asegurar conexión con una sección admin.
  • 28. Certificados digitales Validación nombre de dominio • Solo se valida el nombre del dominio • No hay alerta por parte del navegador • Ideal para asegurar comunicación entre sitio web y visitantes
  • 29. Certificados digitales Validación de organización • El ente certificador valida la existencia de una organización • Más validación → Más seguridad • Son muy usados
  • 30. Certificados digitales De validación extendida (EV) • Top de los certificados • Mejor proceso de validación • Barra verde exclusiva • Navegadores muestran nombre organización
  • 31. Certificados digitales Wildcard • Permiten usar un único certificado en múltiples subdominios • Por ejemplo, se pueda usar para: – midominio.com – www.midominio.com – dev.midominio.com – compras.midominio.com
  • 32. Certificados digitales Multi-dominio • Se puede usar en múltiples dominios, con nombre igual de segundo nivel y diferente de primer nivel • Ejemplos: – midominio.com – midominio.net – midominio.org
  • 33. Certificados digitales Empresas certificadoras • Comodo: http://ssl.comodo.com/ • DigiCert: http://www.digicert.com/ • EnTrust: http://www.entrust.com/ • GeoTrust: http://www.geotrust.com/ssl/ • GoDaddy: http://www.godaddy.com/ssl/ssl- certificates.aspx?ci=8979 • Network Solutions: http://www.networksolutions.com/SSL- certificates/index.jsp • Thawte: http://www.thawte.com/ • VeriSign: http://www.verisign.com/
  • 34. Certificados digitales Creando mi propio certificado (self- signed certificates) • Yo soy mi propia autoridad certificadora. Son los certificados privados • Los navegadores no los reconocen y envían una alerta • Agregando mi ente certificador para que no esté alertando
  • 35. Certificados digitales OpenSSL • Es una biblioteca de cifrado • Se derivó de SSLeany • La primera versión liberada de OpenSSL fue en 1998 • Hay un programa con una amplia variedad de comandos • http://www.openssl.org/
  • 36. Certificados digitales Ingresando a mi sitio certificado
  • 37. Certificados digitales Si avanzo a pesar del mensaje de advertencia de navegador
  • 38. Certificados digitales Agregando la autoridad de certificación al navegador
  • 39. Certificados digitales ¡Gracias! difaro@internexo.com Twitter: didierfallas LinkedIn: didierfallas