Daniel Anibal Mazzuca wrote:
> Oi Euclides,
>
> atendendo teu pedido, estou enviando a tua resposta na lista. Mas lembra
> que eu sou leigo. Por tanto, gostaria te perguntar algumas coisas simples:
>
> a) qual Webserver simples, de graca, para WIN, posso instalar na minha
> maquina para fazer o teste de acessar localmente com Netscape uma pagina
> estatica no server de forma criptografada usando SSL3 ? Serve o Tomcat ? o
> JSDW ? qual pode ser ?
>
> b) para que isto funcione vou precisar de um certificado para o servidor.
> Serve o self-certificate gerado pelo Keytool ? Eu nao gostaria pagar um
> certificado assinado por uma CA para poder fazer apenas meus testes. De que
> outra forma posso gerar um certificado para que esto funcione ou fazer meus
> testes ?
>
Olha Daniel, n�o sei como est� hoje mais as vers�es do Netscape abaixo de 4.5 ( acho
que � isto mesmo )
n�o reconheciam certificados gerados pelas ferramentas da SUN. Era preciso utilizar as
ferramentas
da propria Netscape para gera��o de chaves e certificados. A Netscape tem tambem um
certificado
de desenvolvedor que voce possa utilizar no seu teste. Basta voce configurar o seu web
server para
suportar o .cacert e importa-lo no seu browser cliente..
>
> Muito obrigado pela resposta,
>
> Daniel
>
>
>
> >Return-Path: <[EMAIL PROTECTED]>
> >From: Jose Euclides <[EMAIL PROTECTED]>
> >To: Daniel Anibal Mazzuca <[EMAIL PROTECTED]>
> >Subject: RES: Falando de seguranca..., algum "expert" que possa dar uma aj
> > uda ?
> >Date: Fri, 4 Feb 2000 10:56:20 -0300
> >X-MIME-Autoconverted: from quoted-printable to 8bit by
> cebolinha.pontocom.com.br id KAA06644
> >
> >Caro Daniel. Nao tive tempo de ler seu e-mail todo, por falta de tempo.
> >Porem vai ai algumas dicas: A camada SSL eh uma extens�o do HTTP e nao um
> >protocolo. O cabecalho e o dados do pacote HTTP s�o encriptografados usando
> >um modelo DES ou RSA, o qual o primeiro utiliza uma chave unica para
> >criptografar/decriptografar o pacote e o segundo modelo utiliza um par de
> >chaves.No SSL 2.0, o par de chaves de secao eh assinado pela CA , QUE PODE
> >SER QQ CERTIFICATE SERVER!!!! O que falam do problema do Netscape nao
> >reconhecer o certificado passa pela falta de informacao dos tecnicos de
> >seguranca e web. Basta configurar o servidor para suportar tal mime. A
> >certificacao do servidor eh um processo de re-encriptacao das chaves
> >publicas e privadas geradas com a chave privada do Certificate Server,
> >gerando um novo hash. No SSL 3.0 o processo eh similar, porem o usuario do
> >browser tambem eh autenticado e cria-se a necessidade de ter um PKI SERVER.
> >Espero ter ajudado um pouco. FAVOR PASSAR ESTA MENSAGEM
> >[EMAIL PROTECTED] . NAO ESTOU CONSEGUINDO PUBLICAR NADA NA LISTA, POIS O
> >MEU DOMINIO LOCAL FOI ALTERADO.
> >Boa sorte, Euclides.
> >
> >
> >> -----Mensagem original-----
> >> De: Daniel Anibal Mazzuca [SMTP:[EMAIL PROTECTED]]
> >> Enviada em: Quinta-feira, 3 de Fevereiro de 2000 21:33
> >> Para: [EMAIL PROTECTED]
> >> Assunto: Falando de seguranca..., algum "expert" que possa
> >> dar uma ajuda ?
> >>
> >> Bom dia Pessoal,
> >>
> >> preciso da ajuda de alguem que conheca de seguranca e me indique o
> >> "caminho
> >> das pedras". Meu objetivo e' praticar JAVA + SSL + JSSE e fazer alguns
> >> exemplos apenas de teste, localmente, para aprender como todo funciona.
> >>
> >> Ja dei uma estudada em toda a parte Java de seguranca, a nivel conceptual
> >> (digital signature, certificate, cryptography algorithm, encryption,
> >> message digest, providers, etc), de API (java.security.*, JSSE) e
> >> ferramentas (keytool, jarsigner, policytool) do Java 2, tudo menos JCE,
> >> por
> >> causa das restricoes de download de USA (saben quando a Sun vai liverar
> >> este produto, porque, pelo que sei, USA ja abriu mao das restricoes).
> >>
> >>
> >> Especificamente, minha ideia e' fazer os seguintes exemplos de teste:
> >>
> >> 1) um exemplo de acesso a um servidor com HTTPs atraves de Netscape, sem
> >> java, e que retorne um HTML bobo, estatico, tipo "Hello World", mas
> >> criptografado.
> >>
> >> Nao consegui achar um bom tutorial de HTTPs, mas pelo que entendi, forma
> >> parte do protocolo que o servidor mande, antes de mais nada, seu
> >> certificado. O browser checa que o certificado esteja regisrtado por algum
> >> cartorio reconhecido (na lista de cartorios locais ao browser). Se nao
> >> estiver, nada feito. Se reconhece o certificado como valido, comeca a
> >> transmitir dados criptografados com a chave publica do certificado, que
> >> somente poderao ser de-criptografados e lidos pelo servidor, porque so ele
> >> possui a chave privada. O servidor, por sua vez, manda dados
> >> criptografados
> >> com sua chave privada; estes dados serao de-criptografados pelo browser
> >> atraves da chave publica que tirou do certificado (porem qq hacker que
> >> fique no meio, que pegue os dados enviados pelo servidor e tenha a chave
> >> publica do mesmo, podera ler esta informacao; ai a necessidade de ter o
> >> certificado tambem do cliente e por isto o crescimento do padrao SET).
> >>
> >>
> >> Para rodar este exemplo vou precisar, e' claro, de um certificado para o
> >> servidor. Vcs imaginam que nao quero pagar um certificado. Atraves do
> >> Keytool e' possivel gerar chaves (publicas,privadas) e o correspondente
> >> self-certificate. Este self-certificate pode ate ser exportado para
> >> arquivo. Eu tentei importar no Netscape este certificao, na parte de
> >> "yours", mas nao funcionou.
> >>
> >> Primeira pergunta:
> >>
> >> a) e' possivel gerar self-certificados com o Keytool para fazer este tipo
> >> de teste ? Como ? O Netscape apenas importa certificados do tipo PKCS12 ?
> >> Como gerar estes tipos com o Keytool ou API ? Existe alguma outra
> >> alternativa ?
> >>
> >> Como disse anteriormente, nao consegui um link com informacao "para
> >> leigos"
> >> de HTTPs e por tanto nao imagino se devo colocar na pagina HTML algum
> >> cabecalho especial, ou se o Webserver se encarrega de fazer tudo isto
> >> automaticamente.
> >>
> >> Segunda pergunta:
> >>
> >> b) Como deve ser o cabecalho das paginas para HTTPs ?
> >>
> >> Terceira pergunta:
> >>
> >> c) Eu tenho apenas o servidor que vem com o jswdk, e agora tambem fiz o
> >> download do Tomcat 3.0, que aparentemente suporta algo de seguranca. Pelo
> >> que vi o Apache nem vem com a parte de seguranca por causa das restricoes
> >> de USA, de qq forma nao tenho ele. Mas, e' possivel fazer este exemplo
> >> teste com o jswdk ou Tomcat ? Se nao, existe algum webserver simples,
> >> gratis, pequeno, pata WIN, com o qual possa fazer meus testes ?
> >>
> >>
> >>
> >> 2) um segundo exemplo de acesso que quero fazer e' atraves de Netscape,
> >> porem chamando a um servlets, com alguns parametros, e que retorne um HTML
> >> bobo, criptografado, usando JSSE. Imagino que se consigo fazer o teste
> >> anterior nao terei problemas em fazer este. Porem:
> >>
> >> Quarta Pergunta:
> >>
> >>
> >> d) existe alguma forma de usar browsers e webserevers, ou servelts + JSSE,
> >> de tal forma de que o cliente tambem tenha um certificado e a autenticacao
> >> seja dupla ? ou , e' possivel usar browsers e o SET ? Teria como eu fazer
> >> uma exemplo local usando esta forma de autenticacao/criptografia com
> >> browsers ? Como ? Como esta o "estado da arte" para que todas as empresas
> >> e
> >> individuos possam ser reconhecidos atraves de seu proprio certificado ?
> >>
> >>
> >> Bom, disculpem que o e-mail seja um pouco longo. Mas resulta dificil falar
> >> de seguranca e nao explicar direito o que se pretende, e desde ja, muito
> >> obrigado a todos os pela ajuda,
> >>
> >>
> >> Daniel (de Rio)
> >>
> >>
> >> Daniel
> >> * Para nao receber mais e-mails da lista, acesse
> >> <http://www.sun.com.br:8080/guest/RemoteAvailableLists>, coloque seu
> >> e-mail, escolha a lista <[EMAIL PROTECTED]> e de um <submit>.
> >
> >
> * Para nao receber mais e-mails da lista, acesse
><http://www.sun.com.br:8080/guest/RemoteAvailableLists>, coloque seu e-mail, escolha
>a lista <[EMAIL PROTECTED]> e de um <submit>.
--
Frederico Charles S. Faria
Especialista em Sistemas
INATEL - PRODEP
Fone/Phone: +55 35 471-9280
* Para nao receber mais e-mails da lista, acesse
<http://www.sun.com.br:8080/guest/RemoteAvailableLists>, coloque seu e-mail, escolha a
lista <[EMAIL PROTECTED]> e de um <submit>.
