Nos dias que correm, é fundamental que todos os dados sensíveis, transaccionados entre um cliente (browser) e um servidor sejam cifrados de modo a que estes não possam ser entendidos por terceiros.
No caso dos servidores Web (entre outros serviços de uma rede), uma das formas de proceder à cifra dos dados é recorrendo ao protocolo SSL.
Mas sabia que 95% dos servidores HTTPS estão vulneráveis a ataques man-in-the-middle?
O que é o SSL?
O SSL é um protocolo criptográfico baseado em cifras assimétricas (chave privada + chave pública) que tem como principal objectivo providenciar segurança e integridade dos dados transmitidos em redes inseguras como é o caso da Internet.
Quando um utilizador acede a um site que recorre ao SSL, o servidor envia ao cliente a chave pública para que esta possa cifrar a informação que vai ser passada ao servidor. Quando o servidor recebe essa informação, usa a sua chave privada para decifrar a informação transmitida pelo cliente.
Existem várias aplicações para este protocolo, como por exemplo o comércio electrónico, servidores Web, servidores FTP, etc. Para identificar facilmente se estão a visualizar um site seguro basta verificar no URL que em vez de estar o normal http:// se encontra https://- Saber mais aqui.
Mas afinal o SSL não é seguro?
Na verdade a culpa é dos administradores que não fazem uma configuração apropriada das tecnologias. Segundo um estudo da Netcraft, 95% dos servidores com HTTPS podem ser atacados isto porque, como referido, existem configurações mal realizadas ou então o administrador não activa o protocolo de segurança HTTP Strict Transport Security (HSTS). Este protocolo ajuda a prevenir ataques man-in-the-middle, sequestro de cookies, etc.
Curiosamente os dados agora apresentados pela Netcraft são semelhantes aos apresentados há 3 anos. Isto quer dizer que os administradores de sistemas não demonstram muita preocupação na melhoria da segurança dos seus sistemas.
Como activar o HSTS?
Activar o protocolo de segurança HSTS é algo bastante simples. Para tal basta abrir a configuração do seu servidor web e inserir a seguinte linha:
Strict-Transport-Security: max-age=31536000;
Este linha força que as ligações sejam dos browsers ao servidor sejam sempre HTTPS mesmo que o utilizador tente aceder via http.
Se é responsável por um servidor Web verifique todas as configurações. Caso não tenha o HSTS é importante que o active, afinal é fácil e rápido.