View
280
Download
3
Category
Preview:
DESCRIPTION
Joomla! + SSL = Segurança reforçada Apresentado no FISL14 em 04 de Julho de 2013
Citation preview
= Segurança reforçada+
Acessando um site com SSL
➢Nota-se o “https” na barra de endereços do navegador;
➢A indicação do “Certificado SSL”, podendo a barra tornar-se verde;
➢Nem todos os navegadores mostram o cadeado na barra.
Joomla! + SSL = Segurança reforçada
Certificados SSL, escolhendo corretamente...
Validação de Domínio
(Domain Validation)
Validação da Organização
(Organization Validation)
Validação Extendida (EV)
(Extended Validation)
Validação da Organização
“Coringa” (Wildcard)
Valida que o domínio está registrado e que alguém com direitos de administrador está ciente e aprova o pedido do certificado.
→ Opção mais econômica
Valida a propriedade do domínio, além das informações sobre a organização incluídas no certificado (nome, cidade, estado, país).
Valida a propriedade do domínio e informações da organização, além da existência legal da organização e que a organização está ciente e aprova o pedido do certificado.
Mesmo que a "Validação da Organização"Certifica todos os subdomínios.
Encriptação SSL de até 256 bits
Subdomínio único* Subdomínios Ilimitados
Antes que uma autoridade de certificação emita um Certificado SSL, ela precisa validar as informações fornecidas no pedido do certificado, logo quanto mais completa a validação, maior a confiabilidade do certificado.
Joomla! + SSL = Segurança reforçada
O que você precisa saber para solicitar o SSL
➢Verifique a viabilidade e custos de instalação com seu provedor de hospedagem;
➢Cada certificado SSL precisa de um endereço IP dedicado, consulte custos;
➢Antes da aquisição é preciso solicitar o CSR (Certificate Signing Request), ou Pedido de Assinatura de Certificado, ao seu provedor de hospedagem;
➢O CSR é enviado para a empresa certificadora;
➢Empresa certificadora faz todas as verificações e envia o Certificado SSL;
➢Seu provedor faz a instalação do Certificado SSL no servidor.
Joomla! + SSL = Segurança reforçada
Esta é a aparência de um CSR
✔Certificate Request(requisição de certificado)
✔Certificate(certificado)
✔Private Key(chave privada)
O CSR normalmente é composto por três partes igualmente importantes, confira...
Joomla! + SSL = Segurança reforçada
Este é o Certificado SSLJoomla! + SSL = Segurança reforçada
Ajustando o site para usar o SSL corretamente✔Usar links relativos em módulos, plugins e componentes;
Lembrando:✔ Link relativo: “/arquivo.html”✔ Link absoluto: “http://www.seusite.com.br/arquivo.html”
✔Quando necessário force o redirecionamento de todo o site para “https”;
✔Links para arquivos ou imagens externas a serem carregados pelo site precisam usar o protocolo “https”;
✔Sempre que possível carregue imagens localmente;
✔Formulários precisam postar os dados para a URL segura (https);
✔Módulos de login precisam ser revisados com muita atenção.
Joomla! + SSL = Segurança reforçada
Site ajustado: Conexão 100% CriptografadaJoomla! + SSL = Segurança reforçada
Site não ajustado: Conexão Parcialmente Criptografada
Joomla! + SSL = Segurança reforçada
Administração do Joomla! com SSL
O Joomla! já está preparado para trabalhar com SSL, facilitando muito na hora de tornar o acesso à administração mais seguro.
Joomla! + SSL = Segurança reforçada
Administração do Joomla! 1.5.x com SSL
O Joomla! 1.5.x também já possuía este recurso.
Nota: Remova o valor da variável “$live_site” no arquivo “configuration.php” do Joomla! 1.5.x antes de habilitar esta opção.
Joomla! + SSL = Segurança reforçada
Módulo de login nativo do Joomla!
O módulo de login nativo do Joomla! já vem preparado para usar SSL!
Joomla! + SSL = Segurança reforçada
Segurança em Outros Códigos
“De modo geral, é preciso garantir que os dados de formulários de login sejam postados para uma URL segura (https)”
Para aplicações críticas:
✔Uma página de login totalmente HTTPS é fundamental;
✔A presença de qualquer mensagem de alerta SSL é uma falha;
✔Conexões HTTP à página de login devem ser descartadas.
Joomla! + SSL = Segurança reforçada
Tratando da segurança do Joomla!...
➢Bloqueie o acesso aos arquivos .XML via “.htaccess”;
## Deny access to extension xml files (uncomment out to activate)<Files ~ "\.xml$">Order allow,denyDeny from allSatisfy all</Files>## End of deny access to extension xml files
➢Use bons provedores de hospedagem (“você tem aquilo pelo qual paga”);
➢Defina corretamente as permissões dos arquivos e pastas;➢ Arquivos: 644➢ Pastas: 755
Joomla! + SSL = Segurança reforçada
Referências
RapidSSL - http://www.rapidssl.com
GeoTrust - http://www.geotrust.com
POST from http to https: The hidden security http://kartones.net/blogs/kartones/archive/2010/01/20/post-from-http-to-https-the-hidden-security.aspx
HTTP POST -> HTTPS = Bad Idea® - http://paulmakowski.wordpress.com/2009/07/20/http-post-https-bad-idea/
HTTPS best practices in general - https://www.owasp.org/index.php/SSL_Best_Practices
Kunena Fórum - http://www.kunena.org
VirtueMart – http://virtuemart.net
Brian Teeman - http://brian.teeman.net
Joomla! + SSL = Segurança reforçada
Especialista em Joomla! e VirtueMart
● Twitter: @fernando_soares
● Skype: fsoarestec
● E-mail: fsoares@fsoares.com.br
● Palestras: http://www.slideshare.net/fernandosoares
Joomla! + SSL = Segurança reforçada
www.fernandosoares.com.br
Apresentado no FISL14 – PUC-RS em 04 de Julho de 2013
Recommended