Vamos criptografar!

Sintetizando, os protocolos de rede possuem uma estrutura básica, formada por um cabeçalho (ou header) e um payload (ou área de dados), isso permite realizar análises de tráfego em praticamente todas as camadas de uma rede de computadores.

A análise de tráfego permite, dentre outras possibilidades:

  • Encontrar pontos de bloqueio na rede
  • Detectar anomalias na rede
  • Descobrir equipamentos e cabeamento defeituosos
  • Observar importantes mensagens de sistema não mostradas pelas aplicações

No entanto, governos e corporações utilizam essa mesma análise junto à ferramentas de mineração de dados para estabelecer a vigilância de computadores e redes, ou seja espionar as atividades dos usuários de computador, dos dados armazenados no disco rígido, ou dos dados (texto, audio ou video) enviados ou recebidos através da rede mundial de computadores (Internet) ou de redes privadas (Intranet).

Saiba mais sobre alguns programas de vigilância: PRISM, MYSTIC, Dropmire, GENIE, Tempora, Echelon, FLYING PIG, FinFisher, Turbine, XKeyscore e etc…

Muitos grupos de direitos civis e de defesa da privacidade têm mostrado a enorme preocupação de que, com a crescente vigilância dos cidadãos, um sistema de vigilância em massa venha gradualmente se estabelecendo, limitando nossas liberdades pessoais. Visto que, a vigilância na maioria das vezes, acontece sem o conhecimento do usuário do computador, de comunidades, grupos, ou de toda a população de um país.

Aí entra o Let’s Encrypt

Letsencrypt
Criado pela Electronic Frontier Foundation (EFF), o Let’s Encrypt é uma autoridade de certificação criada em abril de 2016, que fornece certificados X.509 grátis para encriptação TLS (Transport Layer Security) através de um processo automatizado projetado para eliminar o complexo processo atual de criação, validação, assinatura, instalação e renovação manual de certificados para sites seguros.

Eles criaram o Certbot. Um software que automatiza a emissão e instalação de certificados. A aplicação é bem fácil de usar, funciona nos principais sistemas operacionais modernos do mercado, e possui excelente documentação.

Neste ponto, podemos substituir os certificados auto-assinados (que também são eficientes contra a análise de trafego) gerados com o OpenSSL, que apesar de seguros, não são reconhecidos como válido pelos navegadores, geram uma operação extra dos usuários e exibem notificações de segurança nada agradáveis, para utilizar os certificados emitidos pela Letsencrypt e habilitar o HTTPS em todos seus sistemas conectados à web.

A seguir, instruo como utilizar o Certbot para criar, validar, assinar, instalar e renovar um certificado digital grátis, para o sistema operacional Ubuntu Server (Linux).

Atenção: Entre em contato com a Coderi para obter instruções personalizadas para o seu sistema operacional e/ou servidor web.

Instalando um certificado digital no Linux

O Certbot ativa automaticamente o HTTPS em seu site/sistema web/blog, implantando os certificados emitidos pela Letsencrypt.
$ sudo apt-get install letsencrypt

Gerando o certificado para o seu domínio example.com:
$ letsencrypt certonly --webroot -w /var/www/example -d example.com

Para obter um certificado usando um servidor web “independente” built-in (pode ser necessário interromper o serviço existente) para o domínio example.com:
$ letsencrypt certonly --standalone -d example.com -d www.example.com

Renovando um certificado digital no Linux

Os certificados possuem duração de 90 dias, por isso é altamente recomendável renová-los automaticamente.

Você pode testar renovação automática por seus certificados executando este comando:
$ letsencrypt renew --dry-run --agree-tos

Dica: utilizando o cron (crontab) para executar um comando a cada 3 meses (1º dia do mês, às 8:00 hrs, a cada 3 meses):

00 08 01 Jan,Apr,Jul,Oct * /path/to/script

Essa excelente iniciativa da EFF disponibiliza certificados digitais grátis, simplifica o processo de administração de servidores http/https e ainda mantém suas aplicações e clientes seguros contra a má análise de trafego.

Caso considere, efetue uma doação para essa iniciativa!
Support Letsencrypt, Support Certbot.