Certificats SSL, HTTP i protecció de directoris

Questions and Answers

Quin dels següents passos NO és necessari per crear un certificat SSL segons el contingut?

• Descarregar l'arxiu `apache2-ssl.tar.gz`.
• Crear el directori `/opt/apache2/ssl` per guardar el certificat. (correct)
• Copiar l'arxiu `apache2-ssl-certificate` a `/usr/bin`.
• Copiar l'arxiu `ssleay.cnf` dins `/usr/share/apache2`.

Després d'executar sudo apache2-ssl-certificate, on es guarden per defecte els certificats creats?

• A `/etc/ssl/certs`
• A `/usr/local/ssl`
• A `/etc/apache2/ssl` (correct)
• A `/var/www/ssl`

Quin és el contingut que ha de tenir el fitxer serial creat dins del directori miCA?

• Un número de sèrie aleatori.
• El valor '01'. (correct)
• La contrasenya de l'administrador.
• La data d'expiració del certificat.

Quins arxius s'han d'especificar a la configuració SSL del Webmin per indicar la ubicació del certificat i la clau privada?

miCA/cacert.pem i miCA/private/cakey.pem (C)

Després d'aplicar els canvis al Webmin, quin pas és crucial per activar la configuració SSL?

Reiniciar el servidor. (D)

Quan es configura la protecció de directoris amb contrasenya, quin tipus d'autenticació s'especifica?

Bàsica (B)

On s'emmagatzemen les credencials dels usuaris que tindran accés al directori protegit per contrassenya?

En un fitxer de text pla especificat a la configuració. (D)

Quan restrigim l'accés a un directori amb contrassenya utilitzant l'opció 'Tots els usuaris vàlids del sistema', què implica això?

Qualsevol usuari del sistema Linux pot accedir-hi després d'autenticar-se. (A)

Quina de les següents funcionalitats NO va ser una de les primeres addicions al protocol HTTP per millorar la seva funcionalitat?

Transaccions segures mitjançant HTTPS o SSH. (C)

Quin dels següents servidors web destaca per la seva facilitat de configuració i per funcionar en diversos sistemes operatius, i és un líder a Internet?

Apache (D)

A part de HTTP, quin altre protocol se suporta habitualment als navegadors web per a la transferència de fitxers?

FTP (A)

Què és el Webmail?

La integració d'un client de correu electrònic implementat en format web. (B)

Què signifiquen les sigles URL i URI i quin és el component principal d'una URI?

URL: Uniform Resource Locator, URI: Universal Resource Identifier; Component principal: Protocol. (A)

Quin protocol i port utilitzen per defecte els navegadors web per a la comunicació?

HTTP i port 80 (C)

Un client HTTP sol·licita una pàgina web que conté dues imatges i una fulla d'estil CSS. Quantes connexions separades realitza el client amb el servidor per carregar completament la pàgina web?

4 (B)

Quina de les següents característiques descriu millor el protocol HTTP en la seva versió 1.0?

Estableix comunicacions unitàries, on cada connexió sol·licita un objecte i es tanca immediatament després. (D)

Considerant un encapçalament HTTP amb Content-Type: application/pdf, com probablement gestionarà el client les dades rebudes?

Cridarà a una aplicació externa per obrir el document PDF. (B)

Quin dels següents components NO és un element clau utilitzat pel protocol SSL per a establir una comunicació segura?

Adreces IP dinàmiques. (D)

En el context de la seguretat web, quina és la principal funció d'una Autoritat Certificadora (CA)?

Garantir que l'usuari és qui diu ser en una transacció electrònica. (C)

Quin caràcter s'utilitza en un navegador per accedir a la pàgina web personal d'un usuari allotjada en un servidor, utilitzant la direcció IP?

~ (D)

Si un client web rep un encapçalament HTTP amb Content-Type: text/html, què hauria de fer el client?

Interpretar i visualitzar el codi HTML. (C)

On s'emmagatzema l'espai web personal d'un usuari en un sistema, assumint que l'usuari té el nom d'usuari 'exemple'?

/home/exemple/public_html/ (B)

Com afectaria la manca d'una signatura digital vàlida en un document electrònic important, com un contracte?

La validesa legal del document podria ser qüestionada. (C)

Quins permisos són recomanables per a la carpeta public_html d'un usuari per a que la pàgina web es pugui visualitzar correctament per altres usuaris?

755 (D)

Després d'instal·lar Apache2, quin mòdul s'ha d'activar per permetre l'accés segur a través del protocol HTTPS?

mod_ssl (B)

Si volem assegurar la confidencialitat i integritat de les dades en una comunicació a través d'Internet, quin protocol seria més apropiat utilitzar?

HTTPS (HTTP amb SSL/TLS). (D)

Si vols que la pàgina web segura sigui accessible a través del nom websegura.exemple.cat, on hauries de posar aquest nom?

Com a àlies dins del servidor DNS per referir-nos al servidor segur. (B)

Per què és important que les Autoritats Certificadores (CA) siguin entitats de confiança i reconegudes?

Perquè asseguren que els certificats digitals siguin vàlids i genuïns. (B)

En el context de la seguretat en línia, per a què serveixen els algorismes de 'digest' (funcions hash) mencionats en relació amb el protocol SSL?

Per generar un resum de longitud fixa d'un missatge, utilitzat per verificar la integritat de les dades. (D)

Per accedir a una carpeta segura amb HTTPS, quin port s'ha d'especificar en la configuració del servidor virtual?

443 (C)

Quina és la finalitat principal d'OpenSSL en la configuració d'un servidor web segur?

Proporcionar els algorismes de xifrat necessaris per a HTTPS. (B)

En un entorn de producció real, com s'obtenen els certificats SSL per al servidor?

Es sol·liciten a una Autoritat de Certificats. (D)

Quin mètode HTTP s'utilitza principalment per sol·licitar dades d'un servidor web quan fas clic en un enllaç?

GET (D)

En el context dels mètodes HTTP, quin és el propòsit principal del mètode PUT?

Enviar un recurs o objecte al servidor per a la seva actualització o creació. (B)

Si reps un codi d'estat HTTP de la sèrie 3xx, què indica això sobre la sol·licitud que has fet?

Que la sol·licitud ha estat redirigida a una altra ubicació. (C)

Quin codi d'estat HTTP indica que el servidor no ha pogut trobar el recurs sol·licitat pel client?

404 (D)

Quina és la funció principal de les línies d'encapçalament en un missatge HTTP?

Proporcionar informació descriptiva sobre la transacció entre el client i el servidor. (D)

Si necessites obtenir informació sobre la versió del programari del servidor i els mòduls que té instal·lats, quin mètode HTTP utilitzaries?

OPTIONS (A)

Quin dels següents NO és un tipus de certificat esmentat?

Certificat d'encriptació de disc dur (C)

Quina és la principal funció dels certificats emesos per FNMT?

Facilitar tràmits amb l'administració pública espanyola. (D)

Si vols esborrar un fitxer al servidor web, quin mètode HTTP faries servir, tenint els permisos necessaris?

DELETE (C)

Quin és l'objectiu principal de FESTE?

Garantir les comunicacions electròniques mitjançant diversos tipus de certificats. (B)

Què significa que el protocol HTTP és 'sense estat'?

Cada sol·licitud del client al servidor ha d'incloure totes les dades necessàries per ser entesa, sense dependre de sol·licituds anteriors. (C)

Si necessites un certificat per assegurar el teu servidor web per al comerç electrònic, a quina entitat podries recórrer?

IPSCA (A)

Quin dels següents comandaments s'utilitza per descarregar un fitxer des de la línia d'ordres en Linux?

wget (A)

Quin és el directori de publicació per defecte per a servidors web Apache en sistemes Linux?

/var/www (D)

Després d'instal·lar Apache2 en un sistema Linux, com pots verificar que s'ha instal·lat correctament i està corrent?

Obrint un navegador web i visitant http://localhost. (C)

Si vols canviar la pàgina d'inici per defecte del teu servidor Apache a Linux, quin fitxer hauries de modificar dins del directori /var/www?

index.html (B)

Flashcards

HTTP sense estat

No guarda informació de connexions anteriors.

Mètode GET (HTTP 1.0)

S'usa per obtenir dades del servidor (com clicar un enllaç).

Mètode HEAD (HTTP 1.0)

Similar a GET però sense el cos del missatge.

Mètode POST (HTTP 1.0)

S'utilitza per enviar informació del client al servidor.

Mètode PUT (HTTP 1.1)

Envia el recurs/objecte referenciat per la URL del client al servidor.

Mètode DELETE (HTTP 1.1)

S'usa per esborrar un recurs al servidor.

Mètode OPTIONS (HTTP 1.1)

Obté info del servidor (versió, mòduls) per negociar la connexió.

Sintaxi d'una línia d’encapçalament

Nom de l’encapçalament: Valor.

Cookies

Funció per recordar els noms d'usuari o la data i hora de l'última connexió al servidor web.

Funcionalitats HTTP avançades

Permet protegir carpetes amb contrasenya, accelerar el servei amb caché, suportar programes externs i fer transaccions segures (HTTPS).

NCSA HTTPd

Un dels primers servidors web gratuïts, però sense proxy ni transaccions segures.

Apache

Basat en NCSA, fàcil de configurar, funciona en diversos sistemes i és líder a Internet.

IIS (Internet Information Services)

Servidor web de Microsoft inclòs en sistemes servidors i funciona també en Win XP Pro.

Webmail

Integració del programari client de correu electrònic en format web.

Parts d'una URL/URI

Protocol://adreça del recurs.

Procés de transferència d'una pàgina web

S'especifica l'adreça, el client HTTP decodifica la URL, estableix connexió i sol·licita la pàgina, el servidor envia la pàgina o codi d'error, i es tanca la connexió.

Funció de Content-Type (HTTP)

Informa el client del tipus de dades rebudes (e.g., text/html).

Propòsit original dels tipus MIME?

Extendre les característiques del correu electrònic; ara Internet Media Types.

Composició d'un tipus MIME

Un tipus (e.g., text) i un subtipus (e.g., html).

Funció principal del protocol SSL

Transaccions segures via web mitjançant autenticació.

Servei de la signatura electrònica

Identificar a la persona que realitza una transacció electrònica.

Substitut de la signatura electrònica

El Document Nacional de Identitat (DNI).

Funció de les Autoritats Certificadores (CA)

Garantir que l’usuari sigui qui diu ser.

Elements del protocol SSL

Utilitzat a les transaccions segures via web utilitza signatures digitals, algorismes de criptografia i algorismes de Digest.

Directori 'public_html'

Espai web personal d'un usuari dins la carpeta 'home', en un directori anomenat 'public_html'.

Accés web a la pàgina d'usuari

S'accedeix a la pàgina web d'un usuari amb http://ip-del-servidor/~login-usuario/.

Activar el mòdul Userdir

Activa UserDir (Configuració Global / Mòduls).

OpenSSL

Proporciona algorismes de xifrat.

Activar el mòdul SSL per Apache

Activa el mòdul per Apache per a connexions segures.

Port per HTTPS

El port 443.

Arrel dels documents (web segura)

Directori arrel on es troben els fitxers del lloc web.

Certificat auto-firmat

Certificat creat pel propi servidor, no per una autoritat externa.

Què fan els certificats?

Documents electrònics que confirmen la identitat, permeten la signatura electrònica i l'intercanvi de claus xifrades.

Tipus de certificats

Certificat de correu temporal, personal (amb DNI), i certificat avançat (amb acreditació física).

Exemples d'autoritats certificadores

FNMT (pública, tràmits administratius), FESTE (notarial, legal), IPSCA (comercial), VERISIGN (seguretat general).

Què és la FNMT?

Autoritat pública de certificació espanyola per a tràmits amb l'administració.

Què fa FESTE?

Garanteix comunicacions electròniques mitjançant certificats notarials, web i per a institucions.

Què és IPSCA?

Empresa espanyola que ven certificats digitals, incloent certificats de servidor segur per a comerç electrònic.

Què és Verisign?

Pionera en serveis de seguretat a Internet, emet certificats digitals per a empreses i particulars.

Com s'instal·la Apache a Linux (Debian/Ubuntu)?

apt-get install apache2

apache2-ssl-certificate

Script per generar un certificat SSL per a Apache2 (no inclòs a Ubuntu per defecte).

ssleay.cnf

Arxiu de configuració usat amb l'script apache2-ssl-certificate.

/etc/apache2/ssl

Directori on es guardaran els certificats SSL generats.

miCA/private

Directori per desar la clau privada de la CA (Certificate Authority).

miCA/cacert.pem

Arxiu que conté el certificat de l'autoritat certificadora (CA).

miCA/serial

Arxiu que conté un número de sèrie per a cada certificat emès.

Opcions SSL (Webmin)

Configuració dins Webmin per activar i apuntar als fitxers de certificat SSL.

Protecció de directoris amb contrassenya

Permet protegir l'accés a un directori web mitjançant un nom d'usuari i contrasenya.

Study Notes

HTTP – HyperText Transfer Protocol

• HTTP significa HyperText Transfer Protocol, traduït com a Protocol de Transferència de HiperText.
• La funció principal del protocol HTTP és transferir arxius de text (o de qualsevol tipus) codificats en llenguatge HTML o pàgines web des d'un servidor a un client.

Versions i Seguretat

• La darrera versió 1.1 del protocol HTTP està definida a la RFC 2616 (1999).
• La versió segura del protocol HTTP és HTTPS, que utilitza diversos mètodes/algorismes de xifrat per enviar els arxius entre el servidor i el client.

Ús i Origen de la WWW

• El protocol HTTP és el protocol més utilitzat d'Internet.
• La World Wide Web (WWW) va ser desenvolupada al Laboratori Europeu de Física de Partícules (CERN) al 1990.
• La WWW va ser inicialment un sistema de relació documental basat en un format de text ric.
• Aquesta tenia una sintaxi específica que permetia que alguns caràcters del text apuntessin a altres arxius de text amb informació més detallada.
• Actualment, la WWW s'ha convertit en un sistema de navegació d'informació multimèdia amb pàgines web que contenen imatges, so, vídeos, etc.

Hipertext

• L'hipertext és un format de text ric amb una sintaxi específica que permet que alguns caràcters del text apuntin a altres arxius de text amb informació més detallada.

Clients i Servidors HTTP

• Exemples de clients HTTP: Mozilla Firefox, Internet Explorer, Opera, Google Chrome.
• Exemples de servidors HTTP: Apache (codi lliure), Internet Information Server (IIS de Microsoft), Nginx.

Ports i Protocols de Transport

• El servidor HTTP utilitza el port 80 amb el protocol TCP.
• El servidor HTTPS utilitza el port 443 amb els protocols TCP i UDP.

Llenguatge de les Pàgines Web

• Les pàgines web estan definides en llenguatge HTML (HyperText Tag Markup Language).

Navegadors i Documents

• Quan el navegador web rep quelcom que no és un document de text, activa una aplicació externa per gestionar l'arxiu o pregunta a l'usuari què vol fer amb l'arxiu (desar-lo o executar-lo amb alguna aplicació).

Cookies

• Les cookies són fitxers de text que s'intercanvien entre el servidor i el client, guardant informació de la connexió.
• A la pròxima connexió del client amb el servidor, es tindrà informació de les connexions anteriors.
• Exemple d'informació guardada a les cookies: la data i hora de la darrera connexió al servidor web o recordar la contrasenya.
• HTTP és un protocol sense estat, per tant HTTP no recorda cap succés de connexions anteriors a l'actual amb l'excepció de l'ús de cookies.

Noves Funcionalitats del Protocol HTTP

• Accés per contrasenya per protegir determinades carpetes amb contrassenya.
• Caché de documents per accelerar el servei.
• Suport de programes externs com flash i reproductors de vídeo.
• Transaccions segures com https i ssh.

Servidors Web i les seves Característiques

• NCSA HTTPd: Un dels primers servidors web, gratuït, no funcionava com a proxy i no permet transaccions segures.
• Apache: Basat inicialment en el NCSA, actualment es troba a la versió 2, facilitat de configuració i corre damunt varios sistemes, és líder a Internet.
• IIS: Servidor Web de Microsoft, inclòs en els seus sistemes servidors i també funciona damunt Win XP Pro.

Protocols Admesos pels Navegadors

• A part del HTTP, els navegadors web suporten actualment el protocol FTP.

Webmail

• Webmail és la integració del programari client de correu electrònic implementat en format web.

Parts d'una URL o URI

• Una URL o URI es compon de: protocol://<IP o nom de domini (màquina servidor)>://<nom de l'arxiu>.
• URL significa Universal Resource Locator.
• URI significa Universal Resource Identifier.

Protocol i Port per Defecte

• El protocol http i el port 80 són assumits per defecte pels navegadors web.

Procés de Transferència d'una Pàgina Web

• L'usuari especifica al client HTTP l'adreça de la màquina que vol carregar.
• El client HTTP decodifica la informació de la URL.
• El client estableix connexió amb el servidor web i sol·licita la pàgina i/o objecte sol·licitats.
• El servidor envia la pàgina i/o objecte sol·licitats i, si no la troba, envia un codi d'error, el client inicia la interpretació dels codis HTML.
• Es tanca la connexió.

Connexions HTTP i Imatges

• Si un client HTTP sol·licita una pàgina web que conté 3 imatges, realitza 4 connexions amb el servidor: una per la sol·licitud de la pàgina i 3 una per cada imatge.

Característiques Principals del Protocol HTTP

• Utilitza l'arquitectura client-servidor que permet l'enviament de qualsevol tipus d'arxiu.
• A la versió 1.0 existeixen 3 mètodes bàsics de petició.
• Estableix comunicacions unitàries entre el client i servidor de forma que cada connexió és contestada amb l'objecte sol·licitat o un codi d'error.
• És un protocol sense estat (no recorda cap succés ocorregut en connexions anteriors).
• Cada objecte sol·licitat està definit al final de la URL.

Mètodes de Petició de la Versió 1.0

• GET: Per obtenir qualsevol tipus d'informació del servidor (quan cliquem damunt un enllaç s'envia un mètode de petició GET).
• HEAD: Paregut al GET però sense el camp cos del missatge.
• POST: Utilitzat per enviar informació des del client al servidor.

Mètodes de Petició de la Versió 1.1

• PUT: Per enviar el recurs/objecte referenciat per la URL del client cap al servidor (per exemple, quan pugem un video a YouTube).
• DELETE: Per esborrar un recurs al servidor (esborrar un video a YouTube, evidentment hem de tenir permisos d'escriptura damunt la carpeta del servidor).
• OPTIONS: El client obté informació del servidor (per exemple, versió de l'Apache i mòduls que té instal·lats) i així poder negociar els paràmetres de la connexió.
• GET: Per obtenir qualsevol tipus d'informació del servidor (quan cliquem damunt un enllaç s'envia un mètode de petició GET).

Identificació dels Codis d'Estat:

• Els codis d'estat s'identifiquen mitjançant números de 3 xifres, classificats en 5 grups.

Tipus de Codis d'Estat:

• Informatius (1xx)
• Èxit de la sol·licitud (2xx)
• Readreçament de la sol·licitud (3xx)
• Error produït pel client (4xx), com "404 Page not found"
• Error produït pel servidor (5xx), com "500 Internal Server Error"

Respostes Típiques d'un Servidor Web:

• 200 per indicar l'OK de la petició
• 404 per indicar que l'objecte sol·licitat no està disponible (per exemple, perquè no existeix o l'usuari ha introduït malament la URL)

Línies d'Encapçalament

• Les línies d'encapçalament permeten enviar informació, com l'autenticació d'usuaris.

Sintaxi d'una Línia d'Encapçalament:

• Nom de l'encapçalament seguit del caràcter dos punts i el valor corresponent.

Exemples de Línies d'Encapçalament:

• Date: Thu, 10 Feb 2005 10:14:20 GMT (dóna la data del servidor)
• Server: Apache/1.3.26 (UNIX) ... (indica que el servidor web és l'Apache, la versió, que corre damunt un sistema Linux i els mòduls configurats damunt l'Apache)
• Content Type: text/html (indica que el servidor està enviant un arxiu de text en format html)

Origen dels Tipus MIME:

• Els tipus MIME van ser creats inicialment per extendre les característiques del servei de correu electrònic, i el seu ús s'ha extès amb el que s'anomena Internet Media Types.

Composició d'un Tipus MIME:

• Es compon d'un tipus i subtipus.
• Un exemple és <text/html>, que indica que es tracta d'un arxiu de text escrit en HTML.

Ús dels Tipus MIME en HTTP

• El protocol HTTP utilitza els tipus MIME en els seus encapçalaments per informar al client del tipus de dades que està rebent, mitjançant l'encapçalament Content-Type.
• Un client pot manejar les dades rebudes així:
  • Visualitzar el document en el cas Content-Type:<text/html>
  • Cridar a una aplicació externa en el cas Content-Type:<application/pdf>
  • Demanar a l'usuari que fer amb un tipus que no entén Content-Type:<image/x-fwf>

Característiques/Serveis del Protocol SSL:

• S'utilitza a les transaccions segures via web (mitjançant autenticació) entre un client i un servidor.
• Utilitza signatures digitals, algorismes de criptografia i algorismes de Digest (que prenen com a entrada un missatge de longitud variable i produeixen un resum de longitud fixa).

Llei sobre la Signatura Electrònica:

• La llei que va regular l'ús de la signatura electrònica és el Real decreto ley 14/1999 de 17 de setembre sobre signatura electrònica.

Organisme Estatal i Ministeri:

• La Secretaria d'Estat de Telecomunicacions, que pertany al Ministerio de Industria, Turismo y Comercio, va fer aquesta llei.

Servei de la Signatura Electrònica:

• Permet identificar a la persona que realitza una transacció electrònica (dóna autenticació i fiabilitat de que l'autor és qui diu esser).

Document que Substituirà la Signatura Electrònica:

• El Document Nacional de Identitat substituirà la signatura electrònica.

Qui Expedeix els Certificats Digitals:

• L'Autoritat Certificadora expedeix els certificats digitals.

Funció de les Autoritats Certificadores (CA)

• La missió de les Autoritats Certificadores és garantir que l'usuari sigui la persona que realment diu ser; emeten certificats i permeten la signatura electrònica i l'intercanvi de claus de xifrat.

Tipus de Certificats:

• B1. Certificat de correu temporal: vàlid durant un mes o un any, estableix una correspondència entre el nom i un compte de correu electrònic, permet signar i encriptar correu i no és vàlid comercialment.
• B2. Certificat personal: comprova la identitat de l'usuari mitjançant DNI i té cost econòmic.
• B3. Certificat més complet: s'ha d'acreditar la identitat mitjançant DNI en persona i s'han de pagar unes taxes.

Exemples d'Autoritats Certificadores:

• FNMT: Autoritat pública de certificació espanyola, utilitzada per a la relació dels usuaris en els seus tràmits amb l'administració pública.
• FESTE: Patronat de la Fundació per a l'Estudi de la Seguretat de les Telecomunicacions, format pel Consell General del Notariat, CG de l'Abogacia i Universitat de Saragossa, garantitza les comunicacions de tipus electrònic i emet 3 tipus de certificats: Notarials, Web i per a institucions privades.
• IPSCA: Empresa espanyola que comercialitza l'emissió de certificats digitals, com certificats de servidor segur per al comerç electrònic.

Altres emissores de certificats

• VERISIGN: Pionera i líder mundial, proporciona serveis de seguretat a Internet a empreses i particulars, i emet certificats digitals.

Description

Aquest qüestionari avalua conceptes clau sobre la creació de certificats SSL, configuració SSL al Webmin, protecció de directoris amb contrasenya i addicions al protocol HTTP. Comprova el teu coneixement sobre la seguretat web i la gestió d'accés.