2. Que veremos hoy
● Que resuelve, para que sirve
● Como funciona (explicado a mi abuelita)
● Donde se usa y términos confusos
● Certificados clásicos con StartSSL
● Certificados con Lets Encrypt
● Tips de seguridad
● Ejemplos en vivo (nos ponemos techie)
3. Que aporta SSL
✔ Sabemos con quien nos comunicamos
(autenticación)
✔ Protegemos el intercambio (confidencialidad)
✔ Aseguramos que no se ha modificado
(integridad)
CONFIANZA
4. Generando Confianza
● Como sabemos quien es quien?
Identifíquese rufián!!
● DNI = Certificado SSL
● Ahora, ¿porque confiamos en el DNI?
¿estas flojo de papeles?
● RENAPER = Autoridad Certificante (CA)
Y si estamos en otro país??
5. Generando Confianza
● ¿Como protegemos el intercambio?
● Hablemos de forma rara! (cifrado)
● El desafío, ponerse de acuerdo sin que
otros se enteren (key aggrement)
7. Generando Confianza
● Entonces, ¿como hacemos esto en el
mundo digital?
Escribo con Leo con Efecto
Llave privada Su par Publico Firmo, Valido origen y contenido
Llave publica Su par Privado Escondo, cifro, valido destino
●
El uso de la llave privada es como un sobre lacrado.
● Aplicar la llave privada se asemeja a los buzones de un edificio.
Todos con el nro de dpto (llave publica) puede enviar.
Solo con la llave del buzón (llave privada) es posible leer.
8. Entonces ¿Que es SSL?
● Un protocolo criptográfico estándar para
asegurar conexiones.
● Utilizado para Firma Digital, web, correo y
la gran mayoría de protocolos sobre TCP.
Metodos / algoritmos
Key Agree Cipher hash
RSA AES MD5
Diffie-hellman 3DES SHA1
Versión Vigencia
SSL 2.0 1995 - 2011
SSL 3.0 1996 - 2015
TLS 1.0 1999 -
TLS 1.1 2006 -
TLS 1.2 2008 -
9. Utilizando StartSSL
● Uno de los primeros proveedores que
brinda certificados gratuitos.
● La obtención de los certificados es del tipo
manual, presentando documentación que
justifique la propiedad del dominio.
● La renovación e instalación también es
manual, siendo anual para la versión Free.
● Genera Certificados de dominio o cliente
(S/MIME)
10. Utilizando StartSSL
● Accesible via web https://www.startssl.com/
● Para la configuración de los webserver
https://mozilla.github.io/server-side-tls/ssl-config-g
● Los certificados deben manipularse con las
herramientas disponibles para el S.O.
(openSSL, etc)
● Tras la aparición de LetsEncrypt lanza
https://www.startssl.com/StartEncrypt
13. Utilizando LetsEncrypt
● LetsEncrypt es actualmente una de las CA
más grandes a nivel mundial, co-fundada por
la EFF y Mozilla.
● Más de 6 meses de fase beta y 1,7 millones de
certificados sin incidentes.
● Gratuito, automatizado y de código Abierto
● Tras su lanzamiento symantec comienza a
brindar Cert. Gratuitos.
https://www.symantec.com/theme/encryption-everyw
15. Utilizando LetsEncrypt
● Genera y renueva los certificados (webs) sin
intervención humana (c/ 3 meses)
● Utiliza un cliente (soft agente) en el servidor. El
cual también configura el web server.
● Dispone de múltiples agentes y soporta gran
cantidad de plataformas (apache, nginx,
haproxy, etc).
● El agente recomendado es certBot,
https://certbot.eff.org/
18. Todo muy lindo, pero...
● Fallos de seguridad en StartEncrypt
(StartSSL)
http://blog.segu-info.com.ar/2016/07/vulnerabilida
● Se han reportado varias vulnerabilidades
para OpenSSL aunque rápidamente
corregidas.
● Las mas conocidas Poodle, HeartBlead
19. Recomendaciones
● No desesperarse en utilizar nuevas
herramientas o proveedores
● Parchear los sistemas proactivamente.
● Mantenerse al dia con las últimas
novedades de seguridad con sitios como
http://blog.segu-info.com.ar
● Recordar que la seguridad no es un
producto que se adquiere, sino un proceso
que se desarrolla.
20. Recomendaciones
● Ejecutar test de seguridad de forma
periódica, tanto internos como externos.
● Son de utilidad herramientas como SSLlabs
, SSLShopper, DigiCert, GeoCert y
Free SSL Test Server
● Para monitoreo
https://karma.securetia.com/