Tema: Seguridad SSL
Ver Mensaje Individual
  #2 (permalink)  
Antiguo 16/12/2005, 03:26
Enriquez
 
Fecha de Ingreso: marzo-2004
Mensajes: 142
Antigüedad: 20 años, 1 mes
Puntos: 0
Hola elandro,
SSL y TLS autentican al servidor y cifran la sesión, es decir, que todos los datos (html, formularios, etc) que se transmiten van cifrados y que el usuario está seguro de que está en el servidor que tiene que estar y no en otro (phising). No ofrece ninguna seguridad de cara al almacenamiento, ni en usuario (robo de contraseñas, suplantación, etc) ni en servidor (robo de datos, bbdd, etc).
Una intranet "subida a internet" deja de ser una intranet, es una temeridad, y protegerla como dios manda es complicado y caro. Al estar en un hosting, todos los datos de la empresa estarán en un servidor compartido con otros clientes del hosting, otros dominios, y por mucho que protejas tu "parte" siempre existiran otros webmaster con ciertos privilegios, personal del hosting, hacker que pueden atacar la maquina por sitios no protegidos del servidor (otros dominios), etc, etc. Para poder tener un grado de seguridad aceptable sería necesario un servidor dedicado, una máquina para ti solo (desde 100 euros al mes), protegerlo con su firewall y configurar una autenticación fuerte (con certificados de usuario), montar una Autoridad certificadora para emitir certificados de navegación a tus usuarios, cifrar la bbdd, etc. todo esto solo se puede hacer si tienes control total de la maquina, no en un hosting.

Respecto al certificado de servidor. Un certificado de servidor se emite a nombre de un dominio, es decir, que solo vale para ese dominio, www.tusitio.com por ejemplo, y todos los directorios y subdirectorios que cuelguen de el www.tusitio.com/directorio/subdirectorio.
Existe un tipo de certificado (muy caro por cierto) que se emite para un dominio del tipo *.tusitio.com, este certificado vale para todos los subdominios del dominio, uno.tusitio.com dos.tusitio.com, www.tusitio.com , www.uno.tusitio.comm , etc. Esto es lo que tendría el hosting que comentas.
Cuando registras un dominio tiene que existir un servidor (bueno, dos, uno de respaldo) DNS que lo "resuelva" (traduzca www.tusitio.com en una dirección IP), para que los usuarios puedan encontrarlo, existen metodos de hacerlo con IP's dinámicas (noIP por ejemplo), pero eso no se hace en hosting, es una solución casera para los que tienen un servidor con una ADSL en casa y casos así. Por eso la necesidad de una IP fija. Para que te hagas una idea, el procedimiento sería... optener una IP fija del ISP (hosting), registrar el dominio tusitio.com (si no lo tienes registrado), entrar en el DNS que lo gestiona y apuntar www a la IP fija anterior, configurar el servidor web para que escuche en el puerto 80 (http) y 443 (https) en la IP anterior, pedir e instalar un certificado de servidor para el subdominio www.tusitio.com en el servidor web. A parir de ese momento puedes configurar cualquier directorio subdirectorio o todo el sitio web para que admita https.

Bueno, espero haberte aclarado algo, la seguridad es un tema muy amplio...
Un saludo
__________________
Tutorial
FirmasOnline
Última edición por Enriquez; 16/12/2005 a las 04:16