Didier Fallas, profile picture
Subido porDidier Fallas
PDF, PPTX462 vistas

6.owasp day costa_rica_didier

El documento proporciona una guía sobre los certificados digitales SSL y TLS, que son esenciales para establecer conexiones seguras en la web. Se aborda la validación de certificados, su importancia en la autenticación y cifrado de comunicaciones, así como los diferentes tipos disponibles y las entidades certificadoras. Además, se menciona la posibilidad de crear certificados propios, aunque estos no son reconocidos por los navegadores sin el debido respaldo.

Incrustar presentación

Descargar como PDF, PPTX
Certificados digitales SSL y TLS
About Me • Ing. Didier Fallas Rojas, Mag. • Director de Redes e Infraestructura en InterNexo • difaro@internexo.com • Twitter: didierfallas • LinkedIn: didierfallas
Agenda • Introducción SSL/TLS • Certificados digitales • Validez certificados • Detalles en los navegadores • Tipos de certificados • Empresas certificadoras • Creando mi propio certificado
Introducción al SSL/TLS • SSL: Secure Sockets Layer • TLS: Transport Layer Security • Es una tecnología que establece una conexión segura entre un cliente (visitante de un sitio web) y un servidor (servidor web) y hacen que toda la comunicación sea cifrada
Introducción al SSL/TLS • Los referenciamos como un protocolo que provee un canal seguro entre dos dispositivos • El diseño del SSL inicia en 1994 por la empresa Netscape Communications y su diseño estaba orientado exclusivamente a ambientes web
Introducción al SSL/TLS • Cronología • IETF: Internet Engineering Task Force. Genera los documentos reconocidos como RFC. Muchos, estándares oficiales Ref. SSL and TLS. Designing and • TLS: RFC 2246 Building Secure Systems
Introducción al SSL/TLS • SSL en la capa de protocolos: Ref. SSL and TLS. Designing and Building Secure Systems
Introducción al SSL/TLS • Aplicaciones conocidas que usan protocolo de seguridad: – Web – Correo – FTP (FTPS) – VPN
HTTP sobre SSL • HTTP fue el primer protocolo en usar una capa de seguridad SSL • HTTP sobre SSL comúnmente le conocemos como HTTPS • Puerto 443
HTTP sobre SSL • Para los certificados digitales se requiere que el dominio tenga una IP dedicada • Si se usan servidores virtuales (virtual hosts), la forma de conocer el dominio a acceder es mediante el encabezado Host del protocolo HTTP, sin embargo, cuando se hace la negociación SSL, esta información no se ha enviado
HTTP sobre SSL • La solución es usar IP reales dedicadas para cada dominio, pues esta información si puede ser considerada en el flujo de datos SSL
Certificados digitales • ¿Qué es un certificado digital? • Un certificado digital es un documento electrónico el cual valida la identidad de una entidad (persona, empresa, programa) y asocia esa identidad a una llave pública
Certificados digitales • Es un contenido de código almacenado en el servidor con el fin de: Ref. Verisign
Certificados digitales • Comunicación entre el servidor y el navegador Ref. Verisign
Certificados digitales • Comprobación de la validez de un certificado • Existen tres condiciones para que el certificado sea válido y aceptado por los navegadores • Si no se cumple alguna condición el navegador alerta y recomienda no continuar con la sesión
Certificados digitales 1. Nombre común CN (Common Name) Debe coincidir con la dirección URL que el usuario digita en el navegador
Certificados digitales Si el Common Name no coincide
Certificados digitales Si a pesar de la advertencia, acepto ingresar al sitio
Certificados digitales Verificando el Common Name del certificado como usuario
Certificados digitales 2. El certificado debe estar firmado por una EC (Entidad Certificadora) válida
Certificados digitales Entidades certificadores registradas en los navegadores: Firefox Edición → Preferencias → Avanzado → Cifrado → Ver Certificados
Certificados digitales Chrome Configuración → Mostrar configuración avanzada → HTTPS/SSL → Administrar certificados → Autoridades
Certificados digitales 3. El periodo de validez del certificado
Certificados digitales Signos visibles en el navegador
Certificados digitales Detalle en Opera
Certificados digitales Usos: • Transacciones, se requiere validar la autenticidad del dueño de un sistema • Comercio electrónico • Páginas de autenticación • Cifrado de las comunicaciones
Certificados digitales Shared Certificates • Brindados por empresas hospedaje • No hay relación con el nombre del dominio • Mensajes de alerta en el navegador • Cumplen función básica • Se pueden usar para asegurar conexión con una sección admin.
Certificados digitales Validación nombre de dominio • Solo se valida el nombre del dominio • No hay alerta por parte del navegador • Ideal para asegurar comunicación entre sitio web y visitantes
Certificados digitales Validación de organización • El ente certificador valida la existencia de una organización • Más validación → Más seguridad • Son muy usados
Certificados digitales De validación extendida (EV) • Top de los certificados • Mejor proceso de validación • Barra verde exclusiva • Navegadores muestran nombre organización
Certificados digitales Wildcard • Permiten usar un único certificado en múltiples subdominios • Por ejemplo, se pueda usar para: – midominio.com – www.midominio.com – dev.midominio.com – compras.midominio.com
Certificados digitales Multi-dominio • Se puede usar en múltiples dominios, con nombre igual de segundo nivel y diferente de primer nivel • Ejemplos: – midominio.com – midominio.net – midominio.org
Certificados digitales Empresas certificadoras • Comodo: http://ssl.comodo.com/ • DigiCert: http://www.digicert.com/ • EnTrust: http://www.entrust.com/ • GeoTrust: http://www.geotrust.com/ssl/ • GoDaddy: http://www.godaddy.com/ssl/ssl- certificates.aspx?ci=8979 • Network Solutions: http://www.networksolutions.com/SSL- certificates/index.jsp • Thawte: http://www.thawte.com/ • VeriSign: http://www.verisign.com/
Certificados digitales Creando mi propio certificado (self- signed certificates) • Yo soy mi propia autoridad certificadora. Son los certificados privados • Los navegadores no los reconocen y envían una alerta • Agregando mi ente certificador para que no esté alertando
Certificados digitales OpenSSL • Es una biblioteca de cifrado • Se derivó de SSLeany • La primera versión liberada de OpenSSL fue en 1998 • Hay un programa con una amplia variedad de comandos • http://www.openssl.org/
Certificados digitales Ingresando a mi sitio certificado
Certificados digitales Si avanzo a pesar del mensaje de advertencia de navegador
Certificados digitales Agregando la autoridad de certificación al navegador
Certificados digitales ¡Gracias! difaro@internexo.com Twitter: didierfallas LinkedIn: didierfallas

Más contenido relacionado

PPTX
Protocolo SSL
porDarwin Mejias
 
ODP
Curso basicoseguridadweb slideshare4
portantascosasquenose
 
PPT
Seguridad Para Servicios Web
porJose Selman
 
PDF
Instalar un certificado ssl en WordPress
porSamuel Álvarez Sariego
 
PPTX
Protección a nivel de transporte
porManuel Fdz
 
PPTX
Expo10
porPercy Quintanilla
 
PPT
Capa4 Modelo Osi
porguest58fcdf
 
PDF
En 20 minutos... Buenas Practicas SSL
porSección de Metodologías, Normalización y Calidad del Software
 
Protocolo SSL
porDarwin Mejias
 
Curso basicoseguridadweb slideshare4
portantascosasquenose
 
Seguridad Para Servicios Web
porJose Selman
 
Instalar un certificado ssl en WordPress
porSamuel Álvarez Sariego
 
Protección a nivel de transporte
porManuel Fdz
 
Expo10
porPercy Quintanilla
 
Capa4 Modelo Osi
porguest58fcdf
 
En 20 minutos... Buenas Practicas SSL
porSección de Metodologías, Normalización y Calidad del Software
 

Destacado

PDF
Capa de transporte
porCaterine Ramírez Aldana
 
PPTX
Heartbleed
porancarjofasa
 
PDF
Gestión Segura de Dispositivos Móviles en la Empresa
porGuillermo García Granda
 
PDF
Heartbleed
porFabio García Ramírez
 
PDF
Presentación Maas360 - Sebastian Osterc
porSebastian Osterc
 
PPTX
Firmas y certificados digitales
porTensor
 
PPTX
Protocolos De Seguridad
porguestc0218e
 
PPTX
Manual de procedimientos tecnicas encriptacion certificados digitales y firma...
porMyrian Medina
 
PPT
16 Administración Android - EMM
porguidotic
 
PPT
ipsCA facturacion electronica 2009- 20090301
porIPSCA
 
PDF
IBM Webinar: ¿Está preparado para la revolución móvil en su empresa?
porIBM Digital Sales Colombia
 
PPT
Capa de transporte
porlaura1352
 
PPT
Seminario Firmas Y Certificados Digitales Pki
porJose Zelada Peralta
 
PDF
Seguridad de redes inalámbricas - 2007
porWardner Maia
 
PDF
Análisis heart bleed
porTelefónica Grandes Clientes
 
PPTX
Presentación drp 2
poramayosqui
 
DOCX
Protocolo SSL, TLS Y SSH
porAbner Torres
 
ODP
Tecnologías libres para túneles y VPNs
porRodolfo Pilas
 
PPTX
Protocolos de la capa de transporte
porRicardo Sava
 
PPTX
Presentacion drp sir junio 2012 v1
porglobal bis
 
Capa de transporte
porCaterine Ramírez Aldana
 
Heartbleed
porancarjofasa
 
Gestión Segura de Dispositivos Móviles en la Empresa
porGuillermo García Granda
 
Heartbleed
porFabio García Ramírez
 
Presentación Maas360 - Sebastian Osterc
porSebastian Osterc
 
Firmas y certificados digitales
porTensor
 
Protocolos De Seguridad
porguestc0218e
 
Manual de procedimientos tecnicas encriptacion certificados digitales y firma...
porMyrian Medina
 
16 Administración Android - EMM
porguidotic
 
ipsCA facturacion electronica 2009- 20090301
porIPSCA
 
IBM Webinar: ¿Está preparado para la revolución móvil en su empresa?
porIBM Digital Sales Colombia
 
Capa de transporte
porlaura1352
 
Seminario Firmas Y Certificados Digitales Pki
porJose Zelada Peralta
 
Seguridad de redes inalámbricas - 2007
porWardner Maia
 
Análisis heart bleed
porTelefónica Grandes Clientes
 
Presentación drp 2
poramayosqui
 
Protocolo SSL, TLS Y SSH
porAbner Torres
 
Tecnologías libres para túneles y VPNs
porRodolfo Pilas
 
Protocolos de la capa de transporte
porRicardo Sava
 
Presentacion drp sir junio 2012 v1
porglobal bis
 

Similar a 6.owasp day costa_rica_didier

PPT
Seguridad j1v2
porMoisés Cid Deza
 
PPTX
Certificados ssl loidy, katherine
porLoidy Chávez
 
PDF
Certificados digitales
porTensor
 
PDF
Gestión de Certificados Digitales con OpenSSL
porEsteban Saavedra
 
PPS
Vc4 nm73 eq#6-tls
porYare LoZada
 
PDF
Openssl
porNEGOCIOS PROPIOS
 
PDF
Vc4 nm73 eq#6-tls
porSaMoCaFlo
 
PDF
El cifrado web
porMarcel Castillo
 
PPT
VC4NM73-EQ#6-TLS
porJessica Onlyone
 
PPT
Jhon Cabana
porjacksito
 
PDF
T03 03 certificados_digitales
porManuel Fernandez Barcell
 
PPTX
Presentación David Kummers - eCommerce Day Bogotá 2015
poreCommerce Institute
 
PPTX
Protocolo SSL
porDarwin Mejias
 
DOCX
Protocolos ssl
porFelix Luque
 
PPT
3. certificados y pki
por1 2d
 
PDF
Certificados de servicios web para la industria i4.0
porJONATHANISAACLOPEZSA
 
PDF
PROTOCOLO HTTPS
porByron
 
PDF
Ingeniería en sistemas computacionales carpeta
porPablo Martínez
 
PDF
Https Byron Barreno3524
porByron
 
PDF
PROTOCOLO HTTPS
porByron
 
Seguridad j1v2
porMoisés Cid Deza
 
Certificados ssl loidy, katherine
porLoidy Chávez
 
Certificados digitales
porTensor
 
Gestión de Certificados Digitales con OpenSSL
porEsteban Saavedra
 
Vc4 nm73 eq#6-tls
porYare LoZada
 
Openssl
porNEGOCIOS PROPIOS
 
Vc4 nm73 eq#6-tls
porSaMoCaFlo
 
El cifrado web
porMarcel Castillo
 
VC4NM73-EQ#6-TLS
porJessica Onlyone
 
Jhon Cabana
porjacksito
 
T03 03 certificados_digitales
porManuel Fernandez Barcell
 
Presentación David Kummers - eCommerce Day Bogotá 2015
poreCommerce Institute
 
Protocolo SSL
porDarwin Mejias
 
Protocolos ssl
porFelix Luque
 
3. certificados y pki
por1 2d
 
Certificados de servicios web para la industria i4.0
porJONATHANISAACLOPEZSA
 
PROTOCOLO HTTPS
porByron
 
Ingeniería en sistemas computacionales carpeta
porPablo Martínez
 
Https Byron Barreno3524
porByron
 
PROTOCOLO HTTPS
porByron
 

Último

PPTX
INTEGRACION TITAN Pregrado-paso a paso-JUAN ALVARADO.pptx
porJUANDIEGOALVARADOCAL
 
PDF
Blockchain Unidad I: ¿Que es una Blockchain y como funciona?
porNikolGarcia14
 
PDF
Ecosistema de Blockchain_Jesús Sibada.pdf
porjesussibada10
 
PDF
Hitos importantes en la historia de la computación.pdf
porDennisVelsquezRodrgu
 
PPTX
Tecnología Blockchain - Katherine Hernandez.pptx
porKatherineHernandez41113
 
PPTX
Integración DICOM - STL - FOTOGRAFÌA 3D. Valeria Andrango.pptx
porvaleriaeandrango
 
PPTX
Presentacióndeloscontenidosdeltema4.pptx
porjmateh01
 
PDF
Descifrando la Nomenclatura de Procesadores Intel
porGian Marco Alexander Rodríguez Vásquez
 
PPTX
Integración DICOM – STL – Fotografía 3D en TITAN
porEstefania Orbe
 
INTEGRACION TITAN Pregrado-paso a paso-JUAN ALVARADO.pptx
porJUANDIEGOALVARADOCAL
 
Blockchain Unidad I: ¿Que es una Blockchain y como funciona?
porNikolGarcia14
 
Ecosistema de Blockchain_Jesús Sibada.pdf
porjesussibada10
 
Hitos importantes en la historia de la computación.pdf
porDennisVelsquezRodrgu
 
Tecnología Blockchain - Katherine Hernandez.pptx
porKatherineHernandez41113
 
Integración DICOM - STL - FOTOGRAFÌA 3D. Valeria Andrango.pptx
porvaleriaeandrango
 
Presentacióndeloscontenidosdeltema4.pptx
porjmateh01
 
Descifrando la Nomenclatura de Procesadores Intel
porGian Marco Alexander Rodríguez Vásquez
 
Integración DICOM – STL – Fotografía 3D en TITAN
porEstefania Orbe
 

6.owasp day costa_rica_didier

  • 1.
  • 2.
    About Me • Ing.Didier Fallas Rojas, Mag. • Director de Redes e Infraestructura en InterNexo • difaro@internexo.com • Twitter: didierfallas • LinkedIn: didierfallas
  • 3.
    Agenda • Introducción SSL/TLS • Certificados digitales • Validez certificados • Detalles en los navegadores • Tipos de certificados • Empresas certificadoras • Creando mi propio certificado
  • 4.
    Introducción al SSL/TLS • SSL: Secure Sockets Layer • TLS: Transport Layer Security • Es una tecnología que establece una conexión segura entre un cliente (visitante de un sitio web) y un servidor (servidor web) y hacen que toda la comunicación sea cifrada
  • 5.
    Introducción al SSL/TLS • Los referenciamos como un protocolo que provee un canal seguro entre dos dispositivos • El diseño del SSL inicia en 1994 por la empresa Netscape Communications y su diseño estaba orientado exclusivamente a ambientes web
  • 6.
    Introducción al SSL/TLS • Cronología • IETF: Internet Engineering Task Force. Genera los documentos reconocidos como RFC. Muchos, estándares oficiales Ref. SSL and TLS. Designing and • TLS: RFC 2246 Building Secure Systems
  • 7.
    Introducción al SSL/TLS • SSL en la capa de protocolos: Ref. SSL and TLS. Designing and Building Secure Systems
  • 8.
    Introducción al SSL/TLS • Aplicaciones conocidas que usan protocolo de seguridad: – Web – Correo – FTP (FTPS) – VPN
  • 9.
    HTTP sobre SSL •HTTP fue el primer protocolo en usar una capa de seguridad SSL • HTTP sobre SSL comúnmente le conocemos como HTTPS • Puerto 443
  • 10.
    HTTP sobre SSL •Para los certificados digitales se requiere que el dominio tenga una IP dedicada • Si se usan servidores virtuales (virtual hosts), la forma de conocer el dominio a acceder es mediante el encabezado Host del protocolo HTTP, sin embargo, cuando se hace la negociación SSL, esta información no se ha enviado
  • 11.
    HTTP sobre SSL •La solución es usar IP reales dedicadas para cada dominio, pues esta información si puede ser considerada en el flujo de datos SSL
  • 12.
    Certificados digitales • ¿Quées un certificado digital? • Un certificado digital es un documento electrónico el cual valida la identidad de una entidad (persona, empresa, programa) y asocia esa identidad a una llave pública
  • 13.
    Certificados digitales • Esun contenido de código almacenado en el servidor con el fin de: Ref. Verisign
  • 14.
    Certificados digitales • Comunicaciónentre el servidor y el navegador Ref. Verisign
  • 15.
    Certificados digitales • Comprobaciónde la validez de un certificado • Existen tres condiciones para que el certificado sea válido y aceptado por los navegadores • Si no se cumple alguna condición el navegador alerta y recomienda no continuar con la sesión
  • 16.
    Certificados digitales 1. Nombrecomún CN (Common Name) Debe coincidir con la dirección URL que el usuario digita en el navegador
  • 17.
    Certificados digitales Si elCommon Name no coincide
  • 18.
    Certificados digitales Si apesar de la advertencia, acepto ingresar al sitio
  • 19.
    Certificados digitales Verificando elCommon Name del certificado como usuario
  • 20.
    Certificados digitales 2. Elcertificado debe estar firmado por una EC (Entidad Certificadora) válida
  • 21.
    Certificados digitales Entidades certificadoresregistradas en los navegadores: Firefox Edición → Preferencias → Avanzado → Cifrado → Ver Certificados
  • 22.
    Certificados digitales Chrome Configuración→ Mostrar configuración avanzada → HTTPS/SSL → Administrar certificados → Autoridades
  • 23.
    Certificados digitales 3. Elperiodo de validez del certificado
  • 24.
  • 25.
  • 26.
    Certificados digitales Usos: • Transacciones,se requiere validar la autenticidad del dueño de un sistema • Comercio electrónico • Páginas de autenticación • Cifrado de las comunicaciones
  • 27.
    Certificados digitales Shared Certificates •Brindados por empresas hospedaje • No hay relación con el nombre del dominio • Mensajes de alerta en el navegador • Cumplen función básica • Se pueden usar para asegurar conexión con una sección admin.
  • 28.
    Certificados digitales Validación nombrede dominio • Solo se valida el nombre del dominio • No hay alerta por parte del navegador • Ideal para asegurar comunicación entre sitio web y visitantes
  • 29.
    Certificados digitales Validación deorganización • El ente certificador valida la existencia de una organización • Más validación → Más seguridad • Son muy usados
  • 30.
    Certificados digitales De validaciónextendida (EV) • Top de los certificados • Mejor proceso de validación • Barra verde exclusiva • Navegadores muestran nombre organización
  • 31.
    Certificados digitales Wildcard • Permitenusar un único certificado en múltiples subdominios • Por ejemplo, se pueda usar para: – midominio.com – www.midominio.com – dev.midominio.com – compras.midominio.com
  • 32.
    Certificados digitales Multi-dominio • Sepuede usar en múltiples dominios, con nombre igual de segundo nivel y diferente de primer nivel • Ejemplos: – midominio.com – midominio.net – midominio.org
  • 33.
    Certificados digitales Empresas certificadoras • Comodo: http://ssl.comodo.com/ • DigiCert: http://www.digicert.com/ • EnTrust: http://www.entrust.com/ • GeoTrust: http://www.geotrust.com/ssl/ • GoDaddy: http://www.godaddy.com/ssl/ssl- certificates.aspx?ci=8979 • Network Solutions: http://www.networksolutions.com/SSL- certificates/index.jsp • Thawte: http://www.thawte.com/ • VeriSign: http://www.verisign.com/
  • 34.
    Certificados digitales Creando mipropio certificado (self- signed certificates) • Yo soy mi propia autoridad certificadora. Son los certificados privados • Los navegadores no los reconocen y envían una alerta • Agregando mi ente certificador para que no esté alertando
  • 35.
    Certificados digitales OpenSSL • Esuna biblioteca de cifrado • Se derivó de SSLeany • La primera versión liberada de OpenSSL fue en 1998 • Hay un programa con una amplia variedad de comandos • http://www.openssl.org/
  • 36.
  • 37.
    Certificados digitales Si avanzoa pesar del mensaje de advertencia de navegador
  • 38.
    Certificados digitales Agregando laautoridad de certificación al navegador
  • 39.
    Certificados digitales ¡Gracias! difaro@internexo.com Twitter: didierfallas LinkedIn: didierfallas