Joomla! + SSL = Segurança reforçada | FISL14
1 gostou582 visualizações
O documento discute como configurar SSL em sites Joomla para aumentar a segurança, explicando como funcionam os certificados SSL, como solicitar um certificado, ajustar o site para usar SSL corretamente e configurar a administração do Joomla com SSL.
Joomla! + SSL = Segurança reforçada | FISL14
- 2. Acessando um site com SSL ➢ Nota-se o “https” na barra de endereços do navegador; ➢ A indicação do “Certificado SSL”, podendo a barra tornar-se verde; ➢Nem todos os navegadores mostram o cadeado na barra. Joomla! + SSL = Segurança reforçada
- 3. Certificados SSL, escolhendo corretamente... Validação de Domínio (Domain Validation) Validação da Organização (Organization Validation) Validação Extendida (EV) (Extended Validation) Validação da Organização “Coringa” (Wildcard) Valida que o domínio está registrado e que alguém com direitos de administrador está ciente e aprova o pedido do certificado. → Opção mais econômica Valida a propriedade do domínio, além das informações sobre a organização incluídas no certificado (nome, cidade, estado, país). Valida a propriedade do domínio e informações da organização, além da existência legal da organização e que a organização está ciente e aprova o pedido do certificado. Mesmo que a "Validação da Organização" Certifica todos os subdomínios. Encriptação SSL de até 256 bits Subdomínio único* Subdomínios Ilimitados Antes que uma autoridade de certificação emita um Certificado SSL, ela precisa validar as informações fornecidas no pedido do certificado, logo quanto mais completa a validação, maior a confiabilidade do certificado. Joomla! + SSL = Segurança reforçada
- 4. O que você precisa saber para solicitar o SSL ➢Verifique a viabilidade e custos de instalação com seu provedor de hospedagem; ➢Cada certificado SSL precisa de um endereço IP dedicado, consulte custos; ➢Antes da aquisição é preciso solicitar o CSR (Certificate Signing Request), ou Pedido de Assinatura de Certificado, ao seu provedor de hospedagem; ➢ O CSR é enviado para a empresa certificadora; ➢Empresa certificadora faz todas as verificações e envia o Certificado SSL; ➢Seu provedor faz a instalação do Certificado SSL no servidor. Joomla! + SSL = Segurança reforçada
- 5. Esta é a aparência de um CSR ✔Certificate Request (requisição de certificado) ✔Certificate (certificado) ✔Private Key (chave privada) O CSR normalmente é composto por três partes igualmente importantes, confira... Joomla! + SSL = Segurança reforçada
- 6. Este é o Certificado SSL Joomla! + SSL = Segurança reforçada
- 7. Ajustando o site para usar o SSL corretamente ✔Usar links relativos em módulos, plugins e componentes; Lembrando: ✔ Link relativo: “/arquivo.html” ✔ Link absoluto: “http://www.seusite.com.br/arquivo.html” ✔Quando necessário force o redirecionamento de todo o site para “https”; ✔ Links para arquivos ou imagens externas a serem carregados pelo site precisam usar o protocolo “https”; ✔Sempre que possível carregue imagens localmente; ✔Formulários precisam postar os dados para a URL segura (https); ✔Módulos de login precisam ser revisados com muita atenção. Joomla! + SSL = Segurança reforçada
- 8. Site ajustado: Conexão 100% Criptografada Joomla! + SSL = Segurança reforçada
- 9. Site não ajustado: Conexão Parcialmente Criptografada Joomla! + SSL = Segurança reforçada
- 10. Administração do Joomla! com SSL O Joomla! já está preparado para trabalhar com SSL, facilitando muito na hora de tornar o acesso à administração mais seguro. Joomla! + SSL = Segurança reforçada
- 11. Administração do Joomla! 1.5.x com SSL O Joomla! 1.5.x também já possuía este recurso. Nota: Remova o valor da variável “$live_site” no arquivo “configuration.php” do Joomla! 1.5.x antes de habilitar esta opção. Joomla! + SSL = Segurança reforçada
- 12. Módulo de login nativo do Joomla! O módulo de login nativo do Joomla! já vem preparado para usar SSL! Joomla! + SSL = Segurança reforçada
- 13. Segurança em Outros Códigos “De modo geral, é preciso garantir que os dados de formulários de login sejam postados para uma URL segura (https)” Para aplicações críticas: ✔Uma página de login totalmente HTTPS é fundamental; ✔A presença de qualquer mensagem de alerta SSL é uma falha; ✔Conexões HTTP à página de login devem ser descartadas. Joomla! + SSL = Segurança reforçada
- 14. Tratando da segurança do Joomla!... ➢Bloqueie o acesso aos arquivos .XML via “.htaccess”; ## Deny access to extension xml files (uncomment out to activate) <Files ~ ".xml$"> Order allow,deny Deny from all Satisfy all </Files> ## End of deny access to extension xml files ➢Use bons provedores de hospedagem (“você tem aquilo pelo qual paga”); ➢Defina corretamente as permissões dos arquivos e pastas; ➢ Arquivos: 644 ➢ Pastas: 755 Joomla! + SSL = Segurança reforçada
- 15. Referências RapidSSL - http://www.rapidssl.com GeoTrust - http://www.geotrust.com POST from http to https: The hidden security http://kartones.net/blogs/kartones/archive/2010/01/20/post-from-http-to-https-the-hidden-security.aspx HTTP POST -> HTTPS = Bad Idea® - http://paulmakowski.wordpress.com/2009/07/20/http-post-https-bad-idea/ HTTPS best practices in general - https://www.owasp.org/index.php/SSL_Best_Practices Kunena Fórum - http://www.kunena.org VirtueMart – http://virtuemart.net Brian Teeman - http://brian.teeman.net Joomla! + SSL = Segurança reforçada
- 16. Especialista em Joomla! e VirtueMart ● Twitter: @fernando_soares ● Skype: fsoarestec ● E-mail: fsoares@fsoares.com.br ● Palestras: http://www.slideshare.net/fernandosoares Joomla! + SSL = Segurança reforçada www.fernandosoares.com.br Apresentado no FISL14 – PUC-RS em 04 de Julho de 2013