1. Home
  2. >
  3. Criptografia

Criptografia

Segurança da camada de transporte (TLS)

Quando alguém visita seu site inserindo um URL comum que começa com http://, seus logins e senhas e outros dados confidenciais podem ser interceptados por terceiros indesejados. Da mesma forma, essa conexão não oferece garantia de autenticidade e pode ser redirecionada (ou falsificada) por um ISP ou outro intermediário. O suporte a TLS não é uma cura para todos os problemas, mas melhora significativamente:

  • confidencialidade da transmissão de dados entre o seu servidor da Web e o navegador do usuário
  • autenticidade para as conexões que os usuários fazem com o servidor da Web

Como o TLS/HTTPS funciona no Deflect

Normalmente, quando dois computadores se comunicam com segurança, sem um serviço de proxy de cache como o Deflect, o cliente (por exemplo, um navegador) solicita o certificado TLS do servidor, verifica se confia no certificado e, em seguida, criptografa a conexão usando-o. Os ISPs, as empresas e os governos – os proprietários das redes ou qualquer outro ator que esteja no meio entre o cliente e o servidor – não podem ver o que está dentro do túnel de comunicação estabelecido.

Esquema Deflect TLS

O Deflect oferece várias opções para criptografar conexões com seu site e pode gerar certificados TLS ou usar os que você já possui.

O Deflect pode gerar certificados TLS voltados para o público por meio da Let’s Encrypt, uma autoridade de certificação (CA) lançada em 2015 e cofundada pela Electronic Frontier Foundation, que emite certificados gratuitos e fáceis de instalar com o objetivo explícito de facilitar e disseminar o uso da criptografia na Web. Como os certificados da Let’s Encrypt precisam ser renovados com frequência, o Deflect usa certificados de origem mais duradouros assinados por sua própria autoridade de certificação. É claro que, se você já tiver um certificado TLS, poderá usá-lo para criptografar conexões entre o Deflect e seu site (certificado de origem), bem como entre o público e as bordas (certificado voltado para o público), mas, nesse último caso, você precisará compartilhar sua chave TLS privada conosco. Se preferir não compartilhá-la com ninguém, podemos gerar um certificado Let’s Encrypt para criptografar as conexões que chegam a qualquer uma das bordas do Deflect, enquanto as conexões entre as bordas do Deflect e o seu servidor da Web serão criptografadas pelo seu próprio certificado.

Habilite conexões HTTPS para seu site no Deflect

Se estiver ativando conexões HTTPS pela primeira vez em seu site e ainda não tiver um certificado TLS, você tem três opções.

1. Peça ao Deflect para fazer tudo por você

Você pode pedir ao Deflect para fazer tudo por você: geraremos um certificado Let’s Encrypt voltado para o público para criptografar as conexões entre seus leitores e as bordas do Deflect e um certificado de origem para proteger as conexões entre o Deflect e seu site (consulte a opção 1 no guia de configuração do certificado voltado para o público e a opção 1 no guia do Deflect Dashboard Control Panel). Essa opção é recomendada se você não estiver familiarizado com o OpenSSL. As comunicações entre o público e a origem da borda serão criptografadas e a borda poderá validar que está falando com o seu servidor e não com algum outro servidor que se faz passar pelo seu.

2. Gere seu certificado de origem e faça com que ele seja assinado pelo Deflect

Se você se sentir confortável com o uso do OpenSSL, o Deflect gerará apenas um certificado Let’s Encrypt voltado para o público, enquanto você gera seu certificado de origem e o assina pelo Deflect para que as conexões entre as bordas e a origem possam ser validadas e o Deflect possa ter certeza de que está falando com o seu servidor (consulte a opção 1 no guia de configuração do certificado voltado para o público e a opção 2 no guia do Painel de controle do Deflect). Essa é uma opção avançada, recomendada se você estiver familiarizado com o uso do OpenSSL e com a criação de uma solicitação de assinatura de certificado. Você não precisará compartilhar sua chave privada com o Deflect, e o Edge ainda poderá validar seu certificado de origem.

3. Gerar um certificado de origem autoassinado

Você também pode gerar um certificado de origem autoassinado sem que ele seja assinado pelo Deflect. O Deflect gerará apenas um certificado Let’s Encrypt voltado para o público, enquanto as conexões entre o Deflect e seu site serão criptografadas por meio de seu próprio certificado autoassinado (consulte a opção 1 no guia de configuração do certificado voltado para o público). Você pode escolher essa opção se preferir não compartilhar sua chave privada com ninguém, mas não tiver experiência com solicitações de assinatura de certificado. Todas as conexões serão criptografadas, mas o Deflect não poderá confirmar que o certificado realmente pertence a você. Se o seu site já aceita conexões HTTPS e você tem um certificado TLS que gostaria de continuar usando, você tem mais duas opções:

4. Faça upload de um pacote de certificados TLS personalizado

Nesse caso, tanto as conexões com o Deflect quanto as conexões entre o Deflect e o seu site serão criptografadas por meio do seu certificado TLS (consulte a opção 2 no guia de configuração de certificado voltado para o público). Essa opção permite que você continue usando o certificado que já foi gerado, mas exige que você compartilhe sua chave privada com o Deflect.

5. Use um certificado de terceiros em seu servidor de origem

Peça ao Deflect para gerar um certificado Let’s Encrypt voltado para o público enquanto você usa seu certificado de terceiros como um certificado de origem (consulte a opção 1 no guia de configuração de certificados voltados para o público). Essa opção permite que você continue usando o certificado que já foi gerado sem precisar compartilhar sua chave privada com ninguém.

Criptografia de disco

Armazenamento em cache

O Deflect pratica a criptografia de dados em repouso. Isso significa que todos os nossos servidores de borda, servidores de hospedagem, servidores de registro e praticamente todas as máquinas que usamos têm criptografia de disco completo ou criptografia de sistema de arquivos para proteger os arquivos que armazenam. Seu cache de tráfego da Web é armazenado em um disco criptografado.

Registro em log

Seus logs de tráfego são armazenados de forma criptografada nos servidores de borda do Deflect e no repositório central de todos os logs do Deflect. Você também tem a opção de desativar o registro do Deflect. Em seguida, excluiremos com segurança todos os registros de tráfego recebidos nas bordas, a cada 10 minutos. Você não obterá nenhuma estatística de tráfego no painel de controle, caso deseje desativar o registro do Deflect.