Uso de SSL en Studio
La capa de sockets seguros (SSL) es la tecnología de seguridad estándar que se utiliza para establecer y cifrar el enlace entre un servidor y un cliente. El enlace cifrado garantiza que todos los datos que pasan entre el servidor y los clientes sean privados y no se modifiquen. Para crear una conexión SSL, un servidor necesita un certificado SSL. Esta sección proporciona una visión general sobre el uso de SSL en Studio, ofrece un debate sobre la seguridad de la capa de transporte (TLS), la seguridad SSL y los certificados y proporciona los procedimientos que necesita para importar correctamente los certificados de entidad final y de entidad emisora de certificados (CA) y las claves privadas para utilizarlos al verificar la autenticación de cliente SSL.
Seguridad de la capa de transporte y SSL
TLS 1.0 representa una actualización de SSL 3.0. Como ejemplo, el protocolo de reconocimiento TLS para establecer el cifrado y la autenticación cliente/servidor es distinto de protocolo de reconocimiento SSL. Además, TLS ahora es más amplio. Aunque no puede interoperar, TLS proporciona un mecanismo mediante el cual una implementación de TLS 1.0 puede revertir a una implementación de SSL 3.0.
El protocolo TLS utiliza tecnología criptográfica de clave pública y clave simétrica. El cifrado de claves públicas utiliza una clave pública y una privada. La información cifrada con una clave sólo puede descifrarse con la otra clave. Por ejemplo, la información cifrada con la clave pública sólo puede descifrarse con la clave privada.
Cada clave pública del servidor se publica, mientras que la privada se mantiene en secreto. Para enviar un mensaje seguro al servidor, el cliente cifra el mensaje utilizando la clave pública del servidor. Cuando el servidor recibe el mensaje, lo descifra con su clave privada.
La criptografía de clave simétrica utiliza la misma clave para cifrar y descifrar mensajes. El cliente genera aleatoriamente una clave simétrica que se utiliza para cifrar todos los datos de la sesión. La clave se cifra luego con la clave pública del servidor y se envía al servidor.
- Privacidad del mensaje – Conseguido a través de una combinación de cifrado de claves públicas y simétricas. Todo el tráfico entre un cliente y un servidor se cifra utilizando una clave y un algoritmo de cifrado que se negocia durante la configuración de la sesión.
- Integridad del mensaje - Garantiza que el tráfico de la sesión no se modifique mientras esté en ruta hasta su destino final. TLS y SSL utilizan una combinación de claves pública/privada y de funciones hash para garantizar la integridad del mensaje.
- Autenticación mutua - Intercambio de identificación a través ce certificados de claves públicas. Las identidades del cliente y el servidor se codifican en certificados de claves públicas, que contienen los componentes siguientes:
- Nombre distinguido del sujeto
- Nombre distinguido del emisor
- Clave pública del sujeto
- Firma del emisor
- Periodo de validez
- Número de serie
Certificados
SSL utiliza certificados digitales para autenticar la identidad del servidor y opcionalmente del cliente. La entidad emisora de certificados (CA) es la encargada de emitir los certificados digitales, un organismo de confianza que está autorizado para emitir, renovar y revocar certificados digitales después de verificar la identidad y la legitimidad de la parte solicitante. Un certificado CA, que puede ser un certificado CA raí o un certificado CA subordinado, incluye la firma de la CA y el periodo de validez. Un CA garantiza la conexión entre una clave y otra CA o entidad final. Una entidad final es un persona, un rol, una organización, un pseudónimo o una pieza del hardware o software.
El cifrado y la autenticación se realizan a través de una clave pública y una privada. La clave pública está incorporada en un certificado, conocido como certificado de sitio o de servidor. El certificado contiene varios elementos de información, incluyendo el nombre de la CA que ha emitido el certificado, el nombre y la clave pública del servidor o cliente, la firma de la CA y el número de serie y la fecha del certificado. La clave privada se genera al crear un certificado autofirmado o una petición de certificado de CA y se utiliza para descifrar mensajes de los clientes.
- El cliente y el servidor intercambian mensajes de saludo para negociar el algoritmo de cifrado y la función hash (para la integridad de los mensajes) que se han de utilizar para la sesión.
- El cliente solicita un certificado estándar ITU-T X.509 del servidor para probar su identidad. Opcionalmente, el servidor puede solicitar un certificado del cliente. Los certificados se verifican comprobando el formato del certificado, las fechas de validez y verificando que el certificado incluye la firma de una entidad emisora de certificados fiable (o bien está autofirmado).
- El cliente genera aleatoriamente un conjunto de claves que se utiliza para el cifrado. Las claves se cifran con la clave pública del servidor y se comunican de forma segura al servidor.