Certificados Digitales / TLS y SSL

Descripcin
Debido a las carencias de seguridad del protocolo HTTP se implementa una capa adicional para el transporte de informacin que resuelve los apectos de seguridad carentes en los servidores web. Esta capa biene definida por el estndar TLS o Transport La er Protocol que gracias a las librerias !penSSL permite encriptar la informacin a trav"s de cone#iones seguras SSL o Secure Soc$ets La er. SSL es un estndar definido por %etsacape &omunication &orporation que actualmente implementan todos los servidores seguros. En estndar SSL no solamente proporciona la encriptacin confidencialidad de los datos sin que tambi"n proporciona la autenticacin de cliente servidor garanti'a la integridad de los datos a trav"s del protocolo TP&()P. Estas son las caracter*sticas deseables para que podamos considerar una cone#in segura. Aunque SSL proporciona autenticacin y privacidad de la informacin entre extremos sobre Internet mediante el uso de criptografa con normalidad slo el servidor es autenticado mientras que el cliente se mantiene sin autenticar. - fuera?? &omo la ma oria de servidores +entre ellos apac,e- a implementan estos estndares a trav"s de las ,erramientas de !penSSL slo necesitamos de un &ertificado vlido para poder establecer cone#iones tipo HTTPS. El &ertificado Digital es un documento digital mediante el cual un tercero confiable E& +Entidad &ertificadora- garanti'a la vinculacin entre la identidad de un su.eto o entidad su clave p/blica. )nstalando el &ertificado Digital el servidor apac,e proporcionar automticamente la informacin sobre la web al nevegador de cualquier cliente si este est verificado confirmado por una E& +Entidad &ertificadorao tercero confiable "sta confirmar que el certificado es vlido garanti'ar la veracidad de los datos. 0dems toda comunicacin se reali'ar a trav"s del &op rig,t 1 favs,are.com 232

canal seguro que nos proporcion SSL garanti'ando la confidencialidad4 autenticidad privacidad de los datos.

Actuaciones
E#isten tres condiciones para que el certificado sea vlido por lo tanto aceptado por la ma oria de navegadores. De no cumplirse estas tres condiciones el navegador alertar de la invalide# del certificado en muc,os casos recomnedar al usuario abandonar la cone#in.

El nombre comun &% +&ommon %ame- debe coincidir con la direccin 56L que el usuario teclea en su navegador Es certificado debe estas firmado por una E& +Entidad &ertificadoraen la que el browser o navegador del clienta ,a a depositado su confian'a Las fec,as de valide' del certificado deben corresponderderse con las actuales 0 continuacin se detallan los pasos a seguir para la instalcin de un certificado SSL confiable.

&op rig,t 1 favs,are.com 272

Previo 0ntes de iniciar el proceso para adquirir e instalar nuestro certificado digital4 debemos comprobar si el dulo SSL de 0pac,e est instalado si no es as* reali'ar la instalacin a trav"s de um8
rpm q mod_ssl || yum install mod_ssl

Organizacin en disco. La Distribucin de 6ed,at 9&: dispone de directorios espec*ficos para colocar estos arc,ivos tan sensibles "stos tienen asignados los permisos adecuados para garanti'ar la seguridad el acceso solamente a usuarios verificados. Toda la estructura de certificados ser generada sobre (etc(p$i(tls(. Sobre "ste se despliegan los directorios siguientes
certs misc private pub Certificados CA Bundle y Otros Clave Privada y CSR Certificados para el servidor web

Generar el CSR El &S6 +&ertificate Signing 6equest- es el arc,ivo que se debe suministrar a la E& +Entidad &ertificadora- para que "sta pueda e#pedir el certificado. Este contiene toda la informacin con la informacin relativa a la empresa4 adems de la clave publica de la P;). Para generar un par de claves +clave publica privada- el &S6 para un servidor web a trav"s de la aplicacin openssl se usar el comando gen"rico siguiente8
openssl req new nombredelcsr"csr nodes !eyout nombredelaclave"!ey out

Para generar el &S6 las claves para ecommerce.iddover.net ser*a8

openssl req new nodes !eyout private#ecommerce"iddover"net"!ey out private#ecommerce"iddover"net"csr

Este comando generar dos arc,ivos. El arc,ivo private(ecommerce.iddover.net.$e contiene la clave privada que debe ser guardad en secreto. Nota8 Es importante garanti'ar la persistencia de la clave privada4 en el caso &op rig,t 1 favs,are.com 2<2

de e#traviarse el certificado resultar*a invlido deber*amos solicitar otro. 0 &ontinuacin se deben indicar los detalles referentes a la Empresa o Entidad que solicita el certificado. La informacin introducida en este punto aparecer en el apartado Sub!ect del certificado final emitido.
Country $ame %& letter code' (A)*+ ,S State or Province $ame %full name' (Some State*+ Barcelona -ocality $ame %e./ city' (*+ 0ilafanca del Penedes Or.ani1ation $ame %e./ company' (2nternet 3id.its Pty -td*+ 4A0S5AR, Or.ani1ational )nit $ame %e./ section' (*+ 26 Common $ame %e./ 7O)R name' (*+ ecommerce"iddover"net ,mail Address (*+ ssl8iddover"net A c9allen.e password (*+ An optional company name (*+

En el campo &% +&ommon %ame- se indicar el nombre del servidor dominio +fully qualified domain name- al que se emitir el certificado estar alo.ada la web. Es importante tener en cuenta que si indicamos en este campo el valor8 iddover.net4 el certificado no ser vlido para el subdominio """.iddover.net o cualquier otro4 pol lo que debe ser seleccionado con sumo cuidado. Los campos Email 0ddress4 c,allenge password pueden de.arse en banco. optional compan name

Si indicamos un valor para el campo c#allenge pass"or$d cada ve' que se tenga que acceder a los valores del certificado +como por e.emplo en un reinicio del 0pac,e- se deber introducir la contrase=a de forma manual4 por lo que se recomienda de.ar en blanco. Nota: Para verificar los datos de un &S6 a generado se puede usar el comando8 openssl req 2te#t 2noout 2verif 2in nombredelcsr.csr que presentar por panatalla toda la informacin que el &S6 contiene Enviar el CSR a la Entidad Certificadora 5na ve' se ,a a generado el arc,ivo que contiene el &S6 se debe enviar el condenido de tal a la Entidad &ertificadora +normalmente a trav"s de un formulario-

&op rig,t 1 favs,are.com 2>2

Instalacin del Certificado en Apache !odSS" La Entidad &ertificadora tiene la obligacin de verificar que la informacin del &S6 es cierta posteriormente emitir el certificado definitivo que se enviar normalmente a trav"s de correo electrnico. El certificado definitivo +visto mediante un editor de te#to- debe tener un aspecto similar a el siguiente8
B,:2$ C,R6242CA6, ;22,d<CCA=>.Aw2BA.2RA-;w?@A4-7m4!uA6POr?3B;wCD7EFoG29vc$AD, 4BDAw 3C,-;A!:A=),B9;C00;@5<AcB.$0BAo640ElG&l1d:0yRm@H-m$vbSw.a3H <-<,p ;Cc:A=),A@;.)m01G3@sGAE:b5!.D&0yd:lma3$9d:).)&0ydml<GA;w59c $;C7@ %"""' mC>qA@-B&#q<E,R2?b6Rn&BE7$sR::$ClaAfI!9J-uEiO$noo25fdlrv ,$C C,R6242CA6,

Este arc,ivo debe ser ubicado con un nombre descriptivo en el directorio correspondiente dentro del servidor web 8 (etc(p$i(tls(certs( Instalacin del Certificado Inter#edio 0lgunas entidades certificadoras4 para evitar estar bombardeadas con peticiones de verificacin para sus certificados prefieren distribuir el %ertificado Intermedio que no "s mas que el certificado de "sta4 para que cada servidor que ,a a sido certificado disponga de la informacin necesaria para el cliente que estable'ca la cone#in SSL. Situamos este arc,ivo dentro de la estructura de directorios4 concretamente en el directorio del servidor siguiente8 (etc(p$i(tls(misc( Config$raciones 5na ve' est"n generados almacenados correctamente los certificados4 se a=adirn las directrices necesarias para que el servido web 0pac,e pueda manear cone#iones cifradas. Para ello generamos un arc,ivo espec*fico en (etc(,ttpd(conf.d(ssl.conf )ndicamos al servidor 0pac,e que no se limite al puerto ?@ +,ttp- sin que tambi"n escuc,e el puerto correspondiente a las conecines web cifradas +,ttps- que se corresponde con el n/mero >><.
-isten KKL

&op rig,t 1 favs,are.com 2A2

%ormalmente4 configuraremos un servidor virtual en el que activamos el soporte ssl mediante la siguiente l*nea8
SS-,n.ine on

)ndicamos los protocolos cifrados permitidos para la comunicacin entre cliente servidor. Desactivamos SSLv7 por d"bil ,aber sido e#plotado recientemente.
SS-Protocol all SS-v&

)ndicamos el tipo de cifrado permitido4 se permite el lo"4 de 37? Bits por mantener la compatibilidad con )nterner E#plorer :
SS-Cip9erSuite A--+MAC5+M,APOR6+MSS-v&+RCKNRSA+N52:5+N;,C2);+N-O3

Se indican las rutas del certificado la clave privada

SS-Certificate4ile #etc#p!i#tls#certs#ecommerce"iddover"net"crt SS-CertificateFey4ile #etc#p!i#tls#private#ecommerce"iddover"net"!ey

0=adimos

la

ruta

del

&ertificado

)ntermedio.

SS-CACertificate4ile #etc#p!i#tls#misc#ecommerce"iddover"net"ca bundle

Si ,emos instalado el certificado satisfactoriamente4 la pr#ima ve' que accedemos al servidor de forma segura4 aparecer el candadito cerrado al lado de la Direccin Ceb4 sin ,aber aparecido ninguna alerta de seguridad.

&op rig,t 1 favs,are.com 2:2

&op rig,t 1 favs,are.com 2D2

Referencias
Para ampliar informacin consulta las siguientes referencias8 ,ttp8((,ttpd.apac,e.org(docs(7.7(mod(modEssl.,tml ,ttp8((s,ib.$uleuven.be(docs(sslEcommands.s,tml ,ttp8((es.wi$ipedia.org(wi$i(Ssl ,ttp8((es.wi$ipedia.org(wi$i(&ertificadoEdigital ,ttp8((www.ietf.org(rfc(rfc77>:.t#t

Que es favshare.co !
9avs,are es un espacio para almacenar compartir fotograf*as4 cu o acceso lo puedes reali'ar a trav"s de 9TP en el que te damos 7@ FB de disco gratis para que uses a tu anto.o.

&op rig,t 1 favs,are.com 2?2