ID 696547 Banca FCC Órgão TJ-RJ Ano 2012 Provas FCC - 2012 - TJ-RJ - Analista Judiciário - Análise de Sistemas Disciplina Segurança da Informação Assuntos Segurança na Internet Uma das maneiras de promover a segurança em conexões na World Wide Web é a utilização do Hypertext Transfer Protocol Secure (HTTPS) em lugar do Hypertext Transfer Protocol (HTTP). A seu respeito é correto afirmar que Alternativas para estabelecer uma conexão HTTPS, o servidor deve ser capaz de criptografar e decriptografar o conteúdo transmitido; a mesma capacidade não é necessária da parte do cliente (navegador). para o uso do protocolo HTTPS é necessário que o cliente (navegador) esteja habilitado a processar e armazenar pacotes de informação conhecidos como cookies. o port reservado pela Internet Assigned Numbers Authority (IANA) para conexões HTTPS é o de número 22. estritamente falando, HTTPS não é um protocolo diferente do protocolo HTTP mas, simplesmente, um nome para o uso do protocolo HTTP através de uma conexão criptografada. o protocolo HTTPS permite a transmissão segura entre cliente e servidor sem a necessidade de certificados digitais emitidos por terceiros. Responder Comentários Questão bastante confusa. A alternativa (vista como certa) pela FCC, diz que o HTTPS não é um protocolo diferente do protocolo HTTP. Mas só o fato do protocolo HTTS usar o SSL já o torna bem diferente. Vamos analisar:Por prestar serviços à camada de aplicação - usualmente o HTTP, mas não restrito a ele - o SSL situa-se em uma nova camada da arquitetura TCP/IP, entre a camada de aplicação e a de transporte (conforme entendimento do autor Andrew S. Tanenbaum). Quando utilizado para atender ao HTTP, considera-se então que se tem uma aplicação HTTPS (Secure HTTP). Geralmente, aplicações HTTPS atendem na porta padrão 443 (eliminamos a letra C).Como funciona o estabelecimento de uma conexão SSL:a. No primeiro momento, o cliente, pretendendo iniciar uma conexão, envia para o servidor a versão do SSL que está utilizando, suas preferências quanto aos algoritmos criptográficos (eliminamos a letra A) e de hash (utilizado para a garantia da integridade das mensagens trocadas) e qual compressão deseja utilizar, se for o caso. Também envia um nonce (number used once - número que nunca se repete no mesmo contexto), que será utilizado mais a frente no cálculo da chave de sessão.b. O servidor responde enviando a versão do SSL que será utilizada na comunicação, os algoritmos que escolheu e seu próprio nonce, que terá o mesmo uso mencionado acima.c. Em outra mensagem seguinte, o servidor envia seu certificado (eleminamos a letra E) e, caso este não seja feito por certificadora reconhecida, a cadeia que permita ao cliente garantir sua autenticidade. i. Opcionalmente, o servidor solicita o certificado do cliente. Fique claro que este passo é opcional e pouco utilizado, pois são poucos clientes que possuem certificados.1. Neste momento, outras mensagens também podem ser trocadas.d. Em uma terceira mensagem, o servidor notifica que terminou de processar.e. O cliente então envia ao servidor a premaster key da comunicação, criptografada com a chave pública deste. A premaster key é uma chave randômica de 384 bits que juntamente com os nonces, numa matemática complexa, dará origem à chave da sessão atual (chave simétrica a ser utilizada na troca de pacotes do outro subprotocolo). f. Em seguida o cliente envia outra mensagem informando que passará a trabalhar com a cifragem simétrica;g. E o cliente envia mais uma mensagem indicando que terminou o estabelecimento da comunicação.h. O servidor, por sua vez, informa também que estará trabalhando a partir deste momento em cifragem simétrica;i. E, na última mensagem deste protocolo, informa que também considera o processo terminado.e como a letra B é absurda, ficamos somente com a letra D.então:O HTTPS é uma implementação do protocolo HTTP sobre uma camada adicional SSL (Security Sockets Layer) ou TLS (Transport Layer Security), cujo objetivo é permitir que os dados sejam transmitidos através de uma conexão criptografada e que se verifique a autenticidade das partes comunicantes por meio de certificados digitais. Portanto o uso de certificados digitais é parte da implementação do HTTPS.