SSL/TLS - O que é, Diferenças e Versões (1/3)

E aí [Música] Olá senhoras e senhores sejam todos muito bem vindos não somente a seguinte o Brasil mas também ao ano de 2021 eu desejo do fundo do meu coração que esse seja o melhor ano da vida de todos nós e que seja melhor do que foi 2020 muito bem nosso pontapé inicial começa de um jeito especial em 2021 nós nos comprometemos com vídeos semanais aqui no canal pelo menos um por semana por quanto tempo não sei nós temos uma boa base gravada a gente vai disponibilizando aí semanalmente as claro que tudo isso depende do engajamento de vocês da presença de vocês nós fechamos ano de 2020 com mais de 7 mil inscritos mas nós queremos mais mas participação e a gente vai fazer a nossa parte publicando os vídeos e isso é muito importante para quem não tem tanta experiência com conteúdo digital que vocês apertem no inscrever no Sininho para receber notificações isso faz toda a diferença para nossa criadores de conteúdo muito bem nós começamos com o assunto muito especial aqui que é slts ele é especial por duas razões primeiro porque nós usamos isso todos os dias para fazer compras para falar com o banco para fazer até navegação normal afinal de contas a maior parte dos Sites hoje já é https ou seja implícita aqui nesse essa e está o uso do transport layer Security como protocolo essa essa razão para se especial e a segunda razão é que a gente vai fazer esses vídeos no formato diferente no formato de entrevista muito de vocês nos pediram para gente fazer isso disseram que é série TSE um dos assuntos mais cobrados e entrevistas de segurança então que a gente fez foi consolidar que uma lista de perguntas o que a gente vai passar por essa lista por isso também a gente vai dividir esse assunto em três partes a parte de hoje vai falar sobre o que é diferenças e Versões a parte 2 vai falar sobre Chávez sobre a ciphersuites as cifras e como funciona o protocolo e a terceira parte vai falar sobre Hand Shake o famoso aperto de mão tls a gente vai vendo marchar que a gente vai ver isso funcionando de uma forma bem bacana e eu acabo aqui dizendo que essa esse assunto foi sugestão de vocês e lembra que vocês podem falar com a gente sempre pelo WhatsApp pelo Instagram por e-mail pelos comentários aqui sugerindo novos temas para a gente dar sequência senhoras senhores se inscrevam Sininho apertem os cintos que a diversão vai começar Se bem que acompanha segue para o Brasil sabe que nós gostamos de exemplos para ilustrar as nossas dúvidas nossos problemas em soluções Então antes a gente conversar com o que é as versões as diferenças vamos analisar aqui um exemplo hipotético da vida real da importância desse protocolo SL e tls dois protocolos na verdade então quando você exemplo aqui nós temos do lado direito o nosso navegador que é o Chrome e que vai acessar uma página chamada 0web security. com e do lado esquerdo nós temos nosso Air Shark que vai capturar dados pacotes da wi-fi e que tem aqui um filtro já criado que vai ser importante para nós logo mais tão que a gente vai fazer é iniciar captura aqui do lado do ar Shark que não tá pegando nada por causa do filtro na verdade né então não pegou nenhum mete nesse filtro e nesse lado a gente vai acessar o nosso site do Banco pois e esse aqui é o nosso banco é aqui que a gente deixa nosso dinheiro nós temos um botão de login bem legal mas uma coisa que chamou a atenção de provavelmente muito é que esse site ele não é seguro Como assim esse é o Chrome o nosso navegador que tá reclamando dizer Olha eu não gostei muito desse site ele não é seguro o que ele tá querendo dizer é que por alguma razão ele não é seguro nesse caso principalmente é porque ele não tá usando nem tls nem SL para fazer criptografia dos dados ou seja tem um risco muito grande que esses dados não sejam criptografados quando a gente mexer com eles mas tudo bem a gente não viu a gente se viu navegando a gente clicou no sai hein e vamos lá meu usuário chama-se user name a minha senha é pass word' e eu vou fazer meu login e eu fiz meu login e eu já consigo ver algumas coisas eu consigo ver meu balanço olha quanto dinheiro a seguinte o Brasil muito dinheiro mas também a gente teve que teve gastos com nosso cartão de crédito Pois é estamos aqui navegando nós estamos navegando então desde o meu computador com esse navegador até um servidor que é o servidor do nosso banco que é o Web Apps e thirty nós estamos mandando informações para lá para cá para lá e para cá o tempo todo Qual que é o grande problema com este não seguro o grande problema é que esses dados estão indo limpos a gente chama de plantex em texto puro de um lado até o outro e o que que é um lado até o outro Bom na verdade quando a gente fala de um lado até o outro quer dizer que a gente tem aqui um servidor o computador e aqui no meio desse caminho a gente provavelmente vai ter muita coisa a gente vai ter muitos equipamentos de rede e como suítes como roteadores talvez até comunicação aqui seja por wi-fi e seja uma área pública Então esse dado está sendo tá passando por muitos lugares e muitos desses pontos a gente poderia ter alguma outra pessoa uma pessoa Talvez não é simplesmente sim mal intencionada Olha ela aqui que tá fazendo o que a gente chama de um ataque de Man in Dame Du um homem no meio do caminho mas sendo Politicamente correto não precisa ser homem pode ser mulher pode ser qualquer gênero não importa o que importa é o ainda medo alguma coisa no meio do caminho que Está capturando essa informação e aí que ta o problema se esse indivíduo com seu computador com o seu equipamento que tá conectado no Switch no roteador pela internet pelo wi-fi conseguir capturar pacotes se o dado não tiver criptografado esse camarada vai conseguir ver o nosso usuário a nossa senha e as nossas informações e vai ferir os princípios de segurança da confidencialidade da integridade e isso que a gente não quer exatamente isso que a gente vê quando a gente navega aqui para o nosso White Shark que capturou uma ocorrência da minha O interno falando com o IP desse site a gente consegue ver aqui espandindo que o que foi capturado é um HTML form e quando a gente abre quando a gente expande a gente consegue ver exatamente no item summit do Tipo C N A gente pegou uma variável e o seu login chamado your name e 1password não é que foi exatamente o que eu digitei que eram exatamente as minhas credenciais ou seja se eu consegui ver aqui capturando pacotes do meu computador um man-in-the-middle também conseguiria fazer isso e é capturar as informações EA poder fazer login Mexer com essas informações se mexer com a integridade talvez do pacote no meio do caminho e isso é exatamente o que a gente não quer isso por outro lado é exatamente o que os protocolos SL e tls nasceram para fazer é muito bem nossa conversa começa tratando desta parte Inicial que vai falar sobre o que é CLT né se a diferença entre slts diferença entre tls e https e quais são as versões de slts na parte dois a gente vai tratar dos pontos 5 6 e 7 e na parte 3 a gente vai tratar do Hand Shake tls dessa primeira parte portanto nós começamos entendendo o que é slts eu digo para vocês que nada mais são do que acrônimos que significa um secure socket layer e tio Esporte layer Security Mas claro que isso não é importante o importante é entender porque criaram esses protocolos eu digo para vocês que eles foram criados para entregar criptografia Ah sim assim em comunicações Ou seja quando nós tivermos comunicações Ou seja quando nós tivermos dados em trânsito Lembrando que o dado ele tradicionalmente vai estar ou em trânsito ou em repouso ou em uso quando nós tivermos então dado em trânsito nós queremos entregar segurança nessa comunicação fim-a-fim e nos fins o que que nós temos bom nós podemos ter aqui um computador que tá navegando na internet você já tá falando com um servidor web Mas a gente pode também ter um smartphone que tá falando com um servidor FTP por exemplo a gente pode ter também um computador que tá falando com outro computador ou um computador ou melhor um servidor que tá falando com outro servidor o importante é se LTS é esse caminho é aqui que tá a segurança que esse protocolo nos entre é bem muita gente quando pensa em SLS já pensa naturalmente em coisas como https o pensa já em tráfego web e eu já ouvi muita gente dizendo que essa série ter essa existe para criptografar o tráfego web para que a gente possa Navegar nos bancos e fazer compras etc e isso é uma meia-verdade a grande verdade meus amigos minhas amigas aqui quando a gente pega aqui o nosso amigo modelo osi ou é sai abstraindo aqui as camadas de 1 a 3 a gente tem aqui a camada a 4 de transporte EA camada cinco de sessão a camada 6 de apresentação EA camada 7 de aplicação a gente sabe que http tá aqui na camada 7 a gente sabe que o TCP tá aqui na camada quatro mas a grande verdade é que slts vivem em algum lugar aqui no meio tem um grande debate se ele tá na camada de sessão ou na camada de apresentação é mas também não acho que isso é importante o que é importante mesmo entender que ele é um protocolo independente http independente TCP portanto existem sim implementações onde a gente tem tls sendo usado junto com o protocolo o DP Claro de pena camada quatro sim existe tls com o DP também existem casos em que teve essa é usado com outros protocolos que não sejam http ou https Então a gente tem RTP em S MTP E aí map também por exemplo então a gente vê o tls ser usado em outras finalidades como por e-mail para transferência de arquivos para vídeo e áudio conferência para mensagem instantânea para voz over Hype por exemplo então tem muitas utilidades Mas é claro Minha gente é claro que o caso de uso mais tradicional é junto com https para tráfego Olá hoje nós queremos navegar através de nosso computador nosso smartphone Nossa TV até sites serviços ver o vídeo Netflix fazer uma transferência do banco fazer uma compra na Amazon por exemplo Esses são os casos mais comuns mas ele ponto de segurança qual que é a finalidade ou melhor quais são imagina que é uma entrevista Quais são os pilares de segurança da informação que ssls Protege eu vou resumir em três áreas distintas ou três pilares distintos tratando aqui na nossa querida confidencialidade integridade e disponibilidade eu vou dizer que sim ele é se protege a confidencialidade da informação afinal de contas os dados ele vai criptografado e também a integridade de forma que ninguém consegue mexer com esse dado no meio do caminho e alterar ou seja e conferindo r$ 100 Ninguém vai poder botar 10 a mais para dizer que transferiu r$ 1000 e eu deixo aqui um lembrete que aqui no canal nós temos vídeos que falam sobre confidencialidade e um outro vídeo que fala sobre integridade o terceiro Pilar que não é da do Cia do Triângulo mágico é a authentication autenticação slts permitem que a gente Authentic o serviços tradicional mente pensando aqui no clássico caso de web a gente vai ter um computador o nosso computador que vai querer falar com um site lá do outro lado de um banco por exemplo e a gente gostaria fazia questão que esse banco fosse altenticado de forma que a gente tivesse certeza que a gente está naquele banco certo e é isso que tls nos entrega uma garantia de que o computador está falando com o banco certo né Isso é muito importante há casos em que a gente quer que os dois o Authentic e esse é um caso e que a gente trata de um outro protocolo com o irmão chamado de múltiplas 1ts muto um de ambas as partes vão se autenticar mas nesse caso de navegação web não é normal né a nossa máquina que ela não consegue se autenticar principalmente porque ela não tem um certificado digital como tem sim o banco o banco vai ter um certificado digital que vai ter uma certifiquei torta e que assinou de forma que o nosso browser aqui do outro lado ele consegue confiar naquelas informações do certificado tudo isso a gente vai tratar com mais detalhes lá no paço número 8 no hand shake e também Claro no Passo 7 aqui a gente explica como é que funciona tls e não passa o oito a gente vai falar do Hand shake e ver como é que tudo isso funciona na prática a nossa próxima missão entender a diferença entre s l e e p l i s e para fazer isso eu vou dividir a tela em duas e vou botar aqui o curto e grosso e a visão histórica Isso vai ser importante no modo curto e grosso de explicar e pateticamente está numa entrevista eu diria que a diferença é que SL evoluiu tal qual um Pokémon ou Digimon para tls de tal forma que SL não existe mais ninguém mais usa SL é um protocolo que tá obsoleto já há muito tempo o que se usa hoje sim é tls. Este é o protocolo que se usa Hoje em Dia das Comunicações seguras.

A mas eu escuto toda hora falar dssl dtls tá morto tanto tempo SL porque aqui ainda se e não é porque a gente vê no sites na própria os fornos fabricantes é por uma questão de ser velho é isso é pela mesma razão que eu até hoje falo firma eu falo aí eu vou lá na firma eu vou resolver o problema da firma é porque uma coisa de gente velha a gente velha continua falando essas coisas pois bem o mercado é velho o mercado gosta de falar SL a SL mas não existe mais é isso aí é sério não existe mais é sério evoluiu para tls que é o que se usa meio de uma visão histórica com pouco mais interessante ou mais claro isso né a grande verdade é que a gente tá lá no ano de 1994 uma empresa que pouca gente conhece hoje chamada Net cake desenvolveu esse protocolo e aqui eu já vou juntar até que o item quatro que são as versões e slts então nasceu lá versão SL 1. 0 uma versão que diga-se de passagem nunca saiu do Papel nunca foi feito o eles né É verdade do papel e logo já devolveu a versão 2. 0 para que para finalmente poder fazer comunicação segura na internet está falando de 94 em diante faz muito tempo mas eu tinha essa preocupação de criptografia dos dados em trânsito na internet quase tem pouca gente a internet era reservado para ricos para Instituto de Pesquisa universidades mas a dúvida já existia nessa época depois disso ver a versão 3.

0 sendo que ambas versões aqui cheias de problema cheia de modernidade chegou até na versão 3. 1 e nesse momento com i e t f esse teste Force ele se Intrometeu e falou galera Não dá primeiro que esse protocolo está associado a uma empresa a gente não quer isso vamos criar uma coisa padronizada e a partir então da versão 3. 1 nasceu a versão 1.

0 lá em 1999 e vocês buscarem no Google até interessante uma até botar aqui ó na edição eu vou botar aqui o Itaú etf da versão 1. 0 né então vai ser versão 1. 0 e depois foi evoluindo né Depois da versão Pumba depois da versão 1.

0 veio a versão 1. 1 quem diria depois ver a versão 1. 2 e hoje a gente tem até a versão 1.

3 e aí tratando diversão é importante entender também que a versão 1. 0 também já foi aposentada a versão 1. 1 também não é Márcia comentada e a versão 1.

2 é um ponto 3 são as recomendadas hoje sendo que ainda hoje a versão 1. 2 ela ainda é a mais utilizada Depende muito do traço do que está olhando porque a versão 1. 3 também já tem uma prevalência bem legal sendo que essa aqui é de 2018 portanto É bem recente entrega muita coisa legal da versão 1.

3 e a gente vai fazer tudo aqui então baseado nessas duas versões não pô há 13 sendo que ainda por cima didaticamente a 1. 2 ela é até mais fácil de entender quando a gente olhar o Hand Shake a gente vai ver que o Hand Shake da versão 1. 2 ele é um pouco mais longo mas ele é mais fácil enquanto que na versão 1.

3 eles compactam tudo é muito pouca informação que vai vem para já criar essa comunicação segura gente vai trabalhar muito com a versão 1. 2 é isso meus amigos e minhas amigas não se usa mais SL não deve se usar mais tls na versão 1. 0 nem na versão 1.

1 e essa é a verdade nua e crua para vocês a ideia nossa última dúvida de hoje a gente consegue responder muito rapidamente Qual que é a diferença entre tls e https eu digo para vocês que a diferença é toda porque tns é completamente independente O que aconteceu historicamente foi Que Nós criamos este protocolo chamado http ele não era seguro então nós precisávamos de algum protocolo para trabalhar junto com ele para entregar confidencialidade e integridade até autenticação então a gente criou https que significa Estamos fazendo isso de uma forma segura antes com SL agora com o tls fazer nada mais do que isso eles não são protocolos e irmãos eles gostam de trabalhar juntos como a gente comentou antes http é camada a sete horas o TCP que tá por baixo dos panos em geral da http é camada quatro e aqui no meio em camada ou cinco ou seis a gente tem o t o s que pode funcionar então portanto com outros protocolos da camada 7 e até da camada quatro portanto não tem relação nenhuma direta entre tls e https a diferença entre http e o protocolo de aplicação ter essa um protocolo de sessão ou de apresentação se preocupa com criptografia dos dados para deixar então o http seguro https ela é preta a gente conhece ama com segurança e esse Serra portanto as nossas dúvidas do dia de hoje a gente falou o quê que é slts resolve o problema então de confidencialidade dos dados em trânsito nas comunicações protegendo a confidencialidade a integridade e a autenticação não confundir aqui com o a disponibilidade não ele a diferença entre essas LTS secção protocolo diferentes o TSE uma evolução do SL e é o que se usa hoje portanto tls é o que se usa hoje de fato quando a estrada de tls https também completamente diferentes e as versões nós temos portanto quando a gente trata dssl nós temos a 1. 0 a 2. 0 EA 3.

0 depois da 3. 11 que deu origem ao tls na sua versão 1. 0 para depois virar 1.

1. 2 e a ponto 3 e lembrando mais uma vez que ponto 2 e ponto três é o que se usa hoje na prática a campeonato mas subiu o próprio servidor eu subi meu servidor web aqui eu posso escolher a versão que eu quiser certo certo você pode botar aí é sério qualquer versão tls qualquer versão mas o browser do cara que foram navegado o celular do computador quando for acessar ele vai reclamar muito se for uma versão 1. 0 1.

2. 0 3. 0 vai reclamar bastante e usuário vai receber esse aviso na tela Tá bom então é isso com isso a gente mata esses pontos e agora a gente já dá sequência no próximo vídeo a questão de Chaves simétricas e assimétricas afinal que usa essa série tls O que que são as sites wix como funciona esse protocolo maravilhoso e depois na parte 3 A gente vai de fato fazer aqui o nosso Hand Shake computador de um lado servidor do outro entender que que eles trocam de informações para aqui no final a nossa ficar feliz com uma comunicação criptografada é muito obrigado por chegar até o final aqui com a gente acessem nosso site segue foi brasil.

com.