sexta-feira, 15 de janeiro de 2010

SSL

Já tem algum tempo que eu descobri o SSL Labs, principalmente devido ao fato de que o responsável por este projeto é o autor original do ModSecurity, o Ivan Ristic. O SSL labs é o site onde o Ivan Ristic coloca as suas descobertas sobre o SSL, que é o seu tema de interesse no momento.

E o site já tem bastante coisa interessante como o "Public SSL Server Database", que é uma base de dados de servidores que usam SSL, em conjunto com uma ferramenta que analisa as configurações de SSL de cada servidor. No final, cada servidor recebe uma nota. Os resultados são bem legais para quem tem de configurar servidores web com SSL, embora o serviço não reconheça certificados da ICP-Brasil.

Além do SSL Labs, o protocolo SSL ganhou as manchetes ultimamente por causa do Google, que colocou o acesso ao GMail utilizando SSL como padrão. Esta é uma boa notícia, embora não resolva todos os problemas de segurança.

Outra notícia recente foi a descoberta de uma vulnerabilidade no protocolo, levando à necessidade de atualização tanto de browsers quanto de servidores. Pelo lado positivo, a ferramenta do SSL Labs permite detectar se os servidores estão vulneráveis.

Enfim, o SSL é importante mas não resolve todos os problemas de segurança na web. Mas também não adianta se não for implementado corretamente.