SóProvas


ID
696547
Banca
FCC
Órgão
TJ-RJ
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

Uma das maneiras de promover a segurança em conexões na World Wide Web é a utilização do Hypertext Transfer Protocol Secure (HTTPS) em lugar do Hypertext Transfer Protocol (HTTP). A seu respeito é correto afirmar que

Alternativas
Comentários
  • Questão bastante confusa. A alternativa (vista como certa) pela FCC, diz que o HTTPS não é um protocolo diferente do protocolo HTTP. Mas só o fato do protocolo HTTS usar o SSL já o torna bem diferente.
  • Vamos analisar:
    Por prestar serviços à camada de aplicação - usualmente o HTTP, mas não restrito a ele - o SSL situa-se em uma nova camada da arquitetura TCP/IP, entre a camada de aplicação e a de transporte (conforme entendimento do autor Andrew S. Tanenbaum). Quando utilizado para atender ao HTTP, considera-se então que se tem uma aplicação HTTPS (Secure HTTP). Geralmente, aplicações HTTPS atendem na porta padrão 443 (eliminamos a letra C).
    Como funciona o estabelecimento de uma conexão SSL:
    a.    No primeiro momento, o cliente, pretendendo iniciar uma conexão, envia para o servidor a versão do SSL que está utilizando, suas preferências quanto aos algoritmos criptográficos (eliminamos a letra A) e de hash (utilizado para a garantia da integridade das mensagens trocadas) e qual compressão deseja utilizar, se for o caso. Também envia um nonce (number used once - número que nunca se repete no mesmo contexto), que será utilizado mais a frente no cálculo da chave de sessão.
    b.    O servidor responde enviando a versão do SSL que será utilizada na comunicação, os algoritmos que escolheu e seu próprio nonce, que terá o mesmo uso mencionado acima.
    c.     Em outra mensagem seguinte, o servidor envia seu certificado (eleminamos a letra E) e, caso este não seja feito por certificadora reconhecida, a cadeia que permita ao cliente garantir sua autenticidade.
                                              i.    Opcionalmente, o servidor solicita o certificado do cliente. Fique claro que este passo é opcional e pouco utilizado, pois são poucos clientes que possuem certificados.
    1.    Neste momento, outras mensagens também podem ser trocadas.
    d.    Em uma terceira mensagem, o servidor notifica que terminou de processar.
    e.     O cliente então envia ao servidor a premaster key da comunicação, criptografada com a chave pública deste. A premaster key é uma chave randômica de 384 bits que juntamente com os nonces, numa matemática complexa, dará origem à chave da sessão atual (chave simétrica a ser utilizada na troca de pacotes do outro subprotocolo).

  • f.      Em seguida o cliente envia outra mensagem informando que passará a trabalhar com a cifragem simétrica;
    g.     E o cliente envia mais uma mensagem indicando que terminou o estabelecimento da comunicação.
    h.    O servidor, por sua vez, informa também que estará trabalhando a partir deste momento em cifragem simétrica;
    i.      E, na última mensagem deste protocolo, informa que também considera o processo terminado.

    e como a letra B é absurda, ficamos somente com a letra D.
    então:
    HTTPS é uma implementação do protocolo HTTP sobre uma camada adicional SSL (Security Sockets Layer) ou TLS (Transport Layer Security), cujo objetivo é permitir que os dados sejam transmitidos através de uma conexão criptografada e que se verifique a autenticidade das partes comunicantes por meio de certificados digitais. Portanto o uso de certificados digitais é parte da implementação do HTTPS.