Presentación sobre HTTPS para la StarTechConf 2013.
Temas cubiertos:
- Vulnerabilidades en suites de cifrado
- Forward Secrecy
- Temas a considerar respecto de Autoridades Certificadoras
- Consejos práticos
18. Ojo con la cadena de certificados
CA-1
Certificado
servidor
Certificado CA
intermedia
Root CA
Certificado
Raíz CA
CA-1
Root CA
Cadena de confianza verificada
20. Proveer una buena lista de suites de cifrado
●
●
●
●
Usar algoritmos de
encriptación fuertes (128 bits
o más)
No usar EXPORT ni
algoritmos obsoletos
Usar ECDHE/DHE para
implementar F0rward
Secrecy
Dar preferencia a la lista de
suites de cifrado del servidor
22. Encriptarlo todo
●
●
●
Asegurar las cookies
(mediante el flag Secure)
Usar HTTP Strict
Transport Security (HSTS)
en lo posible
Asegurarse de no usar
contenido mezclado (ej.
HTML encriptado, pero
CSS y JS sin encriptar)
23. Deshabilitar cache de contenidos sensibles
●
●
La cache queda en el
disco duro sin encriptar
Ejemplos:
–
Datos de perfil
–
Cartolas
–
Mensajes personales
24. Poner atención a
otros aspectos de
seguridad ;)
Fuente: OWASP Top 10 2013 – https:/
/www.owasp.org
25. Herramientas y links
●
●
●
Qualys SSL Test:
https:/
/www.ssllabs.com/ssltest/
Ivan Ristic, “OpenSSL Cookbook”:
http:/
/goo.gl/vYAYHS
Josh Bleecher Snyder, “Why app developers
should care about SSL pinning”:
http:/
/goo.gl/fTcLm