= Segurança reforçada+

Acessando um site com SSL

➢Nota-se o “https” na barra de endereços do navegador;

➢A indicação do “Certificado SSL”, podendo a barra tornar-se verde;

➢Nem todos os navegadores mostram o cadeado na barra.

Joomla! + SSL = Segurança reforçada

Certificados SSL, escolhendo corretamente...

Validação de Domínio

(Domain Validation)

Validação da Organização

(Organization Validation)

Validação Extendida (EV)

(Extended Validation)

Validação da Organização

“Coringa” (Wildcard)

Valida que o domínio está registrado e que alguém com direitos de administrador está ciente e aprova o pedido do certificado.

→ Opção mais econômica

Valida a propriedade do domínio, além das informações sobre a organização incluídas no certificado (nome, cidade, estado, país).

Valida a propriedade do domínio e informações da organização, além da existência legal da organização e que a organização está ciente e aprova o pedido do certificado.

Mesmo que a "Validação da Organização"Certifica todos os subdomínios.

Encriptação SSL de até 256 bits

Subdomínio único* Subdomínios Ilimitados

Antes que uma autoridade de certificação emita um Certificado SSL, ela precisa validar as informações fornecidas no pedido do certificado, logo quanto mais completa a validação, maior a confiabilidade do certificado.

Joomla! + SSL = Segurança reforçada

O que você precisa saber para solicitar o SSL

➢Verifique a viabilidade e custos de instalação com seu provedor de hospedagem;

➢Cada certificado SSL precisa de um endereço IP dedicado, consulte custos;

➢Antes da aquisição é preciso solicitar o CSR (Certificate Signing Request), ou Pedido de Assinatura de Certificado, ao seu provedor de hospedagem;

➢O CSR é enviado para a empresa certificadora;

➢Empresa certificadora faz todas as verificações e envia o Certificado SSL;

➢Seu provedor faz a instalação do Certificado SSL no servidor.

Joomla! + SSL = Segurança reforçada

Esta é a aparência de um CSR

✔Certificate Request(requisição de certificado)

✔Certificate(certificado)

✔Private Key(chave privada)

O CSR normalmente é composto por três partes igualmente importantes, confira...

Joomla! + SSL = Segurança reforçada

Este é o Certificado SSLJoomla! + SSL = Segurança reforçada

Ajustando o site para usar o SSL corretamente✔Usar links relativos em módulos, plugins e componentes;

Lembrando:✔ Link relativo: “/arquivo.html”✔ Link absoluto: “http://www.seusite.com.br/arquivo.html”

✔Quando necessário force o redirecionamento de todo o site para “https”;

✔Links para arquivos ou imagens externas a serem carregados pelo site precisam usar o protocolo “https”;

✔Sempre que possível carregue imagens localmente;

✔Formulários precisam postar os dados para a URL segura (https);

✔Módulos de login precisam ser revisados com muita atenção.

Joomla! + SSL = Segurança reforçada

Site ajustado: Conexão 100% CriptografadaJoomla! + SSL = Segurança reforçada

Site não ajustado: Conexão Parcialmente Criptografada

Joomla! + SSL = Segurança reforçada

Administração do Joomla! com SSL

O Joomla! já está preparado para trabalhar com SSL, facilitando muito na hora de tornar o acesso à administração mais seguro.

Joomla! + SSL = Segurança reforçada

Administração do Joomla! 1.5.x com SSL

O Joomla! 1.5.x também já possuía este recurso.

Nota: Remova o valor da variável “$live_site” no arquivo “configuration.php” do Joomla! 1.5.x antes de habilitar esta opção.

Joomla! + SSL = Segurança reforçada

Módulo de login nativo do Joomla!

O módulo de login nativo do Joomla! já vem preparado para usar SSL!

Joomla! + SSL = Segurança reforçada

Segurança em Outros Códigos

“De modo geral, é preciso garantir que os dados de formulários de login sejam postados para uma URL segura (https)”

Para aplicações críticas:

✔Uma página de login totalmente HTTPS é fundamental;

✔A presença de qualquer mensagem de alerta SSL é uma falha;

✔Conexões HTTP à página de login devem ser descartadas.

Joomla! + SSL = Segurança reforçada

Tratando da segurança do Joomla!...

➢Bloqueie o acesso aos arquivos .XML via “.htaccess”;

## Deny access to extension xml files (uncomment out to activate)<Files ~ "\.xml$">Order allow,denyDeny from allSatisfy all</Files>## End of deny access to extension xml files

➢Use bons provedores de hospedagem (“você tem aquilo pelo qual paga”);

➢Defina corretamente as permissões dos arquivos e pastas;➢ Arquivos: 644➢ Pastas: 755

Joomla! + SSL = Segurança reforçada

Referências

RapidSSL - http://www.rapidssl.com

GeoTrust - http://www.geotrust.com

POST from http to https: The hidden security http://kartones.net/blogs/kartones/archive/2010/01/20/post-from-http-to-https-the-hidden-security.aspx

HTTP POST -> HTTPS = Bad Idea® - http://paulmakowski.wordpress.com/2009/07/20/http-post-https-bad-idea/

HTTPS best practices in general - https://www.owasp.org/index.php/SSL_Best_Practices

Kunena Fórum - http://www.kunena.org

VirtueMart – http://virtuemart.net

Brian Teeman - http://brian.teeman.net

Joomla! + SSL = Segurança reforçada

Especialista em Joomla! e VirtueMart

● Twitter: @fernando_soares

● Skype: fsoarestec

● E-mail: fsoares@fsoares.com.br

● Palestras: http://www.slideshare.net/fernandosoares

Joomla! + SSL = Segurança reforçada

www.fernandosoares.com.br

Apresentado no FISL14 – PUC-RS em 04 de Julho de 2013