1. PROTOCOLOS SSL – SET
PROTOCOLO SSL
El protocolo SSL ha sido diseñado dar seguridad al intercambio de datos entre dos
aplicaciones —principalmente entre un servidor Web y un navegador. Este protocolo es
ampliamente utilizado y es compatible con la mayoría de los navegadores Web.
Al nivel de la arquitectura de red, el protocolo SSL se inserta entre la capa TCP/IP (nivel
bajo) y el protocolo de alto nivel HTTP. SSL ha sido diseñado principalmente para trabajar
con HTTP.
Fue desarrollado por la Corporación Netscape, famosos por haber creado también el
navegador NetScape.
El protocolo SSL está diseñado para autenticar la identidad del emisor y receptor, así como
la confidencialidad e integridad de la información intercambiada:
Autenticación: la identidad del emisor y receptor son confirmadas.
Confidencialidad: los datos enviados se encriptan de manera que una tercera
persona pueda entender el mensaje.
Integridad: los datos recibidos no han sido alterados, por accidente o
fraudulentamente.
¿CÓMO OBTENER UN CERTIFICADO?
Un servidor Web 4D funcionando en modo seguro necesita un certificado numérico de
una autoridad de certificación. Este certificado contiene información tal como la identidad
del sitio así como también la llave pública utilizada para comunicarse con el sitio. Este
certificado se transmite a los navegadores Web que se conectan al sitio. Una vez
identificado y aceptado el certificado, se establece la comunicación en modo seguro.
Para obtener un certificado SSL:
1. Genere una llave privada utilizando el comando GENERATE ENCRYPTION KEYPAIR.
Advertencia: por razones de seguridad, la llave privada siempre debe mantenerse secreta.
De hecho, debe permanecer siempre en el equipo del servidor Web. El archivo Key.pem
debe estar ubicado en la carpeta de la estructura de la base.
2. Utilice el comando GENERATE CERTIFICATE REQUEST para hacer una solicitud de
certificado.
2. 3. Envíe la solicitud a la autoridad de certificación que haya elegido.
Para llenar la solicitud de certificación, necesita contactar la autoridad de certificación. La
autoridad de certificación verifica que la información transmitida sea correcta. La solicitud
del certificado se genera en un BLOB utilizando el formato PKCS. Este formato autoriza
copiar y pegar las llaves como texto y enviarlas vía e-mail sin modificar el contenido de la
llave. Por ejemplo, puede guardar el BLOB que contiene la solicitud del certificado en un
documento de texto (utilizando el comando BLOB TO DOCUMENT), luego abrir y copiar y
pegar su contenido en un email o formulario Web a enviar a la autoridad de certificación.
4. Una vez haya recibido su certificado, cree un archivo de texto llamado "cert.pem" y
pegue los contenidos del certificado en él.
Puede recibir un certificado de varias formas (generalmente por e-mail o un formulario
HTML). El servidor Web 4D acepta la mayoría de los formatos de texto (Mac OS, PC,
Linux...) para los certificados. Sin embargo, el certificado debe estar en formato PKCS.
5. Ponga el archivo "cert.pem" en la carpeta que contiene la estructura de la base.
LOS CERTIFICADOS X.509
Un certificado es esencialmente una clave pública y un identificador, firmados
digitalmente por una autoridad de certificación, y su utilidad es demostrar que una clave
pública pertenece a un usuario concreto. El formato de certificados X.509
(Recomendación X.509 de CCITT:TheDirectory - Autentication Framework". 1988) es el
más común y extendido en la actualidad.
PROTOCOLO SET
El 19 de diciembre de 1997 Visa y MasterCard formaron SET SecureElectronicTransaction
LLC (comúnmente conocida como "SETCo") para que implantase la especificación. En
cuanto el protocolo SET 1.0 fue finalizado, comenzó a emerger una infraestructura basada
en el mismo para dar soportar su uso a gran escala. Ya existen numerosos fabricantes de
software que han empezado a crear productos para consumidores y comerciantes que
deseen realizar sus compras de manera segura disfrutando de las ventajas ofrecidas por
SET.
Es un protocolo transaccional orientado a las aplicaciones de comercio electrónico a
través de tarjetas de crédito. A diferencia de otros protocolos seguros de carácter general
como SSL (Secure Sockets Layer), SET fue expresamente diseñado para el comercio
electrónico y no sirve para ninguna otra cosa, por eso no supone ninguna mejora en
cuanto a la seguridad en la comunicación propiamente dicha, pero mejora las condiciones
en las que el proceso de comercio electrónico tiene lugar.
3. Una vez que cada participante ha obtenido un certificado, SET se rige por un diálogo entre
tres entidades:
El poseedor de la tarjeta de crédito o comprador.
El comerciante.
La pasarela de pago, que está controlada por un banco.
La seguridad del protocolo se basa fundamentalmente en un sistema estricto de
certificación (norma X509) y en que cada uno de los agentes conoce exclusivamente la
información que le concierne y que le es estrictamente necesaria para poder realizar la
compra, la venta o la transacción. Así el comerciante no llegará a saber cuál es el número
de tarjeta de crédito del comprador, ni la pasarela de pago cuales son los productos
comprados por el consumidor.