[MASOCH-L] SSL na Nuvem

Durval Menezes durval at tmp.com.br
Sun Sep 21 11:22:10 BRT 2014


Alo Rubens, 

On Sun, Sep 21, 2014 at 12:45:56AM -0300, Rubens Kuhl wrote:
> E sem entregar a chave privada...
> 
> https://blog.cloudflare.com/announcing-keyless-ssl-all-the-benefits-of-cloudflare-without-having-to-turn-over-your-private-ssl-keys/

Interessante, obrigado pelo ponteiro. 

> O mais interessante ?? como funciona, descrito neste outro post:
> https://blog.cloudflare.com/keyless-ssl-the-nitty-gritty-technical-details/

Realmente interessante. Mas, depois de uma lida rapida, nao parece nada
muito genial: apenas foi criado um "Key Server" que o dono do site vai ter
de rodar em uma maquina dedicada sob seu controle (e idealmente dentro, ou
pelo menos nao muito "longe" -- em termos de latencia -- da rede da Cloud,
para evitar problemas de desempenho no inicio de cada sessao). As instancias
de "SSL Server" rodando na Nuvem passam a operar como '"proxies"'[1] na hora
de derivar a chave de sessao, passando o "Premaster Secret" para o "Key Server"
decriptografar usando a chave privada (que assim nao precisa sair deste
"Key Server").

E' uma daquelas coisas que, quando a gente ve pela primeira vez, se pergunta
porque ninguem pensou naquilo antes.

A vantagem e' clara: certificados mais caros (*cough* ICPBR *cough*) e/ou
sensiveis nao precisam ficar expostos na Nuvem.

Esta vantagem, obviamente, e' reduzida pelo fato de que o ganho de seguranca
so' acontece na menor exposicao da chave privada: todos os dados trafegados
continuam expostos (como nao podia deixar de ser, a "Session Key" fica na
Nuvem), bem como a aplicacao (que continua suscetivel a invasoes, "back doors",
etc) e os recursos que ela necessita para operar (principalmente bancos de dados).

As desvantagens sao tambem claras: possiveis problemas de desempenho
dependendo da latencia entre a Nuvem e o "Key Server", e mais um elemento
(o proprio "Key Server") na infraestrutura para se administrar e, principalmente,
garantir a seguranca.  Para nao falar no caminho ("network path") entre
a Nuvem e o "Key Server".

Nenhum cliente veio ainda me perguntar, mas quando vierem, irei recomendar
aguardar pelo menos alguns meses para que a coisa toda seja mais auditada
(somente 2 auditorias ate' agora, e como foram contratadas para o servico
pela Cloudflare, nao se pode dizer que sao independentes), e por enquanto
so' tem suporte explicito no NGINX.

Um Grande Abraco,
-- 
  Durval Menezes (durval AT tmp DOT com DOT br, http://www.tmp.com.br/)


More information about the masoch-l mailing list