PplWare Mobile

Aprenda a configurar o Apache com SSL (Parte III) – Final

                                    
                                

Este artigo tem mais de um ano


Autor: Pedro Pinto


  1. Nuno Silva says:

    Para quando um tutorial para reverse proxy?

  2. Pedro H says:

    Apenas só faltava mesmo o tutorial para meter certificados do cartão de cidadão e configurar o OCSP para as listas de revogação :p

    De qualquer das formas, bom trabalho Pedro.
    Vou arranhar hoje á noite no meu servidor ehehehehhe

  3. Feijao says:

    Hi,

    obrigado, mais logo vou experimentar numa nova VM

    Cheers,
    AF

  4. Mim says:

    E para quem quiser aprender a configurar os seus servidores de forma mais segura:

    https://calomel.org/ssl_certs.html (pode estar temporariamente indisponível de quando em quando)

    e

    https://www.ssllabs.com/projects/index.html

    Resumidamente, e para que dá prioridade máxima à segurança, não à performance.

    Para um nível de segurança de 128 bits* (até pelo menos 2030):

    – Chaves RSA privadas de 4096 bits com algoritmo de integridade (hash) SHA256. Ou chave privada EC de 256 bits com algoritmo de integridade (hash) SHA256. (Chaves privadas EC não é possível ser ainda autenticadas por nenhuma autoridade certificadora).
    – Algoritmos de 128 bits como o Camellia-128, AES-128 e RC4-128.
    – Usarem os protocolos de troca de chave ECDH (preferível) e DHE (segunda escolha), e de preferência nenhum outro, porque este criam uma código único para cada ligação, mesmo que alguém seja capaz de desencriptar uma ligação, não conseguirá desencriptar as outras usando o mesmo código. ECDH com módulo de 256 bits ou DHE com módulo de 4096 bits.
    – Protocolos de encriptação TLS 1.1 e TLS 1.2 e nenhum outro.

    Para um nível de segurança de 192 bits* (até algum tempo depois de 2030):

    – Chaves RSA privadas de 8192 bits com algoritmo de integridade (hash) SHA384. Ou chave privada EC de 384 bits com algoritmo de integridade (hash) SHA384. (Chaves privadas EC não é possível ser ainda autenticadas por nenhuma autoridade certificadora).
    – Algoritmos de 256 bits como o Camellia-256, AES-256.
    – Usarem os protocolos de troca de chave ECDH (preferível) e DHE (segunda escolha), e de preferência nenhum outro, porque este criam uma código único para cada ligação, mesmo que alguém seja capaz de desencriptar uma ligação, não conseguirá desencriptar as outras usando o mesmo código. ECDH com módulo de 384 bits ou DHE com módulo de 8192 bits.
    – Protocolos de encriptação TLS 1.1 e TLS 1.2 e nenhum outro.

    Para um nível de segurança de 256 bits* (até algum tempo depois de 2040):

    – Chave privada EC de 512 bits com algoritmo de integridade (hash) SHA512. (Chaves privadas EC não é possível ser ainda autenticadas por nenhuma autoridade certificadora).
    – Algoritmos de 256 bits como o Camellia-256, AES-256.
    – Usarem o protocolo de troca de chave ECDH e de preferência nenhum outro, porque este cria uma código único para cada ligação, mesmo que alguém seja capaz de desencriptar uma ligação, não conseguirá desencriptar as outras usando o mesmo código. ECDH com módulo de 512 bits.
    – Protocolo de encriptação TLS 1.2 e nenhum outro.

    * nível de segurança comprometido se existir, ou vier a existir tecnologia processamento computorizado de nível quântico, que será capaz de quebrar a segurança das chaves privadas RSA e EC instantaneamente devido à forma como funciona. Alternativas futuras poderão ser o Lamport, McEliece ou NTRU… parecendo de momento que McEliece aquele que melhor se adequará no futuro apesar de alguns problemas (não aplicáveis na pratica a PC’s)
    Fontes:
    http://middleware.internet2.edu/idtrust/2009/papers/07-perlner-quantum.pdf
    http://www.keylength.com/

    Notas adicionais:
    – Usarem chaves RSA de 4096 bits tem um impacto na quantidade de clientes que se podem ligar ao servidor, contudo é a única maneira de garantirem um nível de segurança de 128 bits.
    – Provavelmente devido a problemas de patentes, nenhuma autoridade certificadora se disponibiliza a assinar certificado EC, apesar de algumas já terem a chave pública presente nos repositórios de chaves dos browsers. Quando ficarem disponíveis, deverão ser preferidas, dado que irão aumentar a segurança e reduzir o impacto no servidor.

  5. José Maria Oliveira Simões says:

    Neste url há um pdf sobre o tema. http://www.dedoimedo.com/computers/apache_book_part.html
    Por falar em segurança, no url que se segue, mostra o que se deve fazer para se continuar seguro na net. http://www.osnews.com/story/25718/How_to_remain_safe_on_the_road

Deixe um comentário

O seu endereço de email não será publicado.

You may use these HTML tags and attributes: <a href="" title="" rel=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

Aviso: Todo e qualquer texto publicado na internet através deste sistema não reflete, necessariamente, a opinião deste site ou do(s) seu(s) autor(es). Os comentários publicados através deste sistema são de exclusiva e integral responsabilidade e autoria dos leitores que dele fizerem uso. A administração deste site reserva-se, desde já, no direito de excluir comentários e textos que julgar ofensivos, difamatórios, caluniosos, preconceituosos ou de alguma forma prejudiciais a terceiros. Textos de caráter promocional ou inseridos no sistema sem a devida identificação do seu autor (nome completo e endereço válido de email) também poderão ser excluídos.