Académique Documents
Professionnel Documents
Culture Documents
Sobre mim
Blog: http://jczucco.blogspot.com
Twitter: @jczucco
http://www.linkedin.com/in/jeronimozucco
Membro OWASP Captulo Porto Alegre
http://www.owasp.org/index.php/
User:Jeronimo_Zucco
Algumas certificaes na rea de segurana
Fonte: http://www.wsj.com/articles/SB10001424053111903480904576512250915629460
Confidencialidade
Autenticidade
Integridade
TLS
SSL
9
Fonte: Trustwave
10
11
Heartbleed
14
Baseline de Certificados
(Chrome 42)
SHA-1: inseguro
Certificados so caros
17
TLS Lento
https://istlsfastyet.com
18
Caches e Filtros
Uso de CDNs (Content Delivery Network)
com suporte HTTPS
Filtros de Next Generation Firewalls ou
Agentes
Bem vindo ao futuro :-)
19
20
21
Um Grande Banco
22
Alm do HTTPS
Alm do HTTPS
* https://hstspreload.appspot.com
25
26
27
28
Fonte: http://vincent.bernat.im/en/blog/2011-ssl-perfect-forward-secrecy.html
29
30
OCSP Stapling
Online Certificate Status Protocol
Verifica os status de revogao do
certificado
Mais eficiente que o CRL
J envia para o cliente o status do
certificado assinado pela AC durante o TLS
handshake
31
OCSP Stapling
NGINX:
ssl_stapling on;
ssl_stapling_verify on;
ssl_trusted_certificate certs/full_chaim.pem;
resolver <IP DNS resolver>;
32
34
35
36
Cabealhos Adicionais
X-Frame-Options SAMEORIGIN
Proteo contra Clickjacking
X-XSS-Protection 1; mode=block
Habilita a proteo contra XSS nos
browsers modernos (opo default)
X-Content-Type-Options nosniff
IE8 E Chrome previne MIME-sniffing
37
38
40
41
O que fazer?
Se prepare para um mundo HTTPS-only
Atualize seu servers
Implemente HSTS
Use Perfect Forward Secrecy
Configure o TLS de forma segura (ciphers,
OCSP
Use Certificate Pinning
43
O que fazer?
No use RC4 e RSA
Avalie os Browsers utilizados por seus
usurios
Implemente cabealhos adicionais
Implemente CSP
SPDY -> HTTP 2
Desenvolvimento Seguro = OWASP
44
PERGUNTAS?
OBRIGADO!
JERONIMO.ZUCO@OWASP.ORG
@JCZUCCO