Configuración de SSL con certificados autofirmados en IIS 7.0

SSL proporciona autenticación y privacidad de la información entre extremos sobre Internet mediante el uso de criptografía. Habitualmente, sólo el servidor es autenticado (es decir, se garantiza su identidad) mientras que el cliente se mantiene sin autenticar; la autenticación mutua requiere un despliegue de infraestructura de claves públicas (o PKI) para los clientes. Los protocolos permiten a las aplicaciones cliente-servidor comunicarse de una forma diseñada para prevenir escuchas (eavesdropping), la falsificación de la identidad del remitente (phising) y mantener la integridad del mensaje.

SSL implica una serie de fases básicas:

• Negociar entre las partes el algoritmo que se usará en la comunicación
• Intercambio de claves públicas y autenticación basada en certificados digitales
• Cifrado del tráfico basado en cifrado simétrico

Durante la primera fase, el cliente y el servidor negocian qué algoritmos criptográficos se van a usar. Las implementaciones actuales proporcionan las siguientes opciones:

• Para criptografía de clave pública: RSA, Diffie-Hellman, DSA (Digital Signature Algorithm) o Fortezza;
• Para cifrado simétrico: RC2, RC4, IDEA (International Data Encryption Algorithm), DES (Data Encryption Standard), Triple DES o AES (Advanced Encryption Standard);
• Con funciones hash: MD5 o de la familia SHA.

Toda la información sensible debería transportarse por medio de SSL o TLS (su sucesor), sin embargo muchas veces esto no se probaba en desarrollos caseros porque era un auténtico lío configurar certificados en IIS y normalmente quienes aprendíamos a hacerlo es porque recibíamos certificados de nuestros clientes que por norma los implementaban. Bueno pues con la nueva versión de IIS esto se ha facilitado muchísimo. Con IIS 7.0 el procedimiento para habilitar una Web segura es muy fácil:

Paso 1: Crea un certificado de servidor, das click en el elemento raíz (el que dice CHICODOTNET en la imágen)

Paso 2: Seleccionas Certificados de servidor, clic derecho y seleccionas "Crear certificado autofirmado", le asignas nombre, Aceptar y listo.

Paso 3: Vas y creas un sitio Web de la manera tradicional, o sea click derecho en Sitios Web, seleccionar Agregar sitio web y llenar los datos, nótese en la imágen que elijo https como tipo de enlace y el certificado que acabo de crear, comúnmente usaremos el puerto 443.

Paso 4: Podemos apuntar tanto las conexiones seguras como las normales al mismo sitio Web y ya solo nos encargaríamos de enlazar al protocolo correcto dentro de nuestra aplicación, recordemos que no todo puede estar por https porque el proceso de cifrado y certificados harían muy lento el desempeño, pero todo aquello que transmita comunicación sensible debe ir por Web segura. Nótese en la imágen que podemos usar distintos puertos a los que se utilizan por defecto.

Paso 5: Una vez configurado todo seguramente querremos probarlo, cabe aclarar que el certificado que creamos en este ejemplo está a nombre de nuestra máquina, por lo que IE 7 nos muestra un mensaje de antiphising, le damos en entrar de todos modos y nos encontramos con el resultado final que hemos publicado en la Web segura.

Paso 6: De cualquier modo la forma más adecuada de entrar a hacer nuestras pruebas es en el nombre de la máquina (que por lo general en un certificado que sale a producción corresponde al dominio).

Ahora sí, felíz codificación de Webs seguras. :-D

Etiquetas: Seguridad Informática, Windows Vista »

Escrito por Alfonso Lara Ramos @ 09:52

| | | | | | | | | | | |

Contenidos relacionados: Google, Live Search, Tafiti, Yahoo