Vamos a hablar de una compañía de seguridad que está proporcionando un nuevo servicio en la red Amazon Web Services, para evitar el uso de las claves de cifrado privadas. Esta empresa se llama CloudFlare, creada en 2009 por Matthew Prince, Lee Holloway y Michael Zatlyn trabajadores ambos del proyecto Honey Pot.
La nueva forma para crear conexiones cifradas que ha desarrollado esta empresa se llama SSL-Keyless. A continuación vamos a ver las diferencias entre el modo tradicional (Handshake, ”apretón de manos”) y el SSL-Keyless:
– En el Handshake, cuando un cliente quiere conectarse al servidor, utiliza un mensaje ”Hola”. El cliente inspecciona que versión del TLS ( Transport Layer Security, protocolo criptográfico que proporciona comunicaciones seguras por una red, comúnmente Internet ) y Cipher Suite reconoce, y el servidor, según la lista que tiene, toma la más favorable. Con todo esto, el servidor le envía un certificado público del sitio al cliente.
– CloudFlare, negocia la sesión con los datos devueltos y actúa como una gateway para las sesiones autenticadas y a la vez es capaz de eliminar cualquier tipo de tráfico malicioso como ataques de DDos. Para entender un poco mejor como realiza todo esto, el cliente envía una combinación de los dos números aleatorios compartidos cifrados con la clave pública que previamente le había mandado el servidor y tanto el servidor como el cliente utilizan los números compartidos para generar las claves de cifrado de la sesión.
Todo esto da como consecuencia, que el servidor tiene acceso a la clave privada de la organización (pero en Keyless), los números se pasan a una aplicación en el centro de datos de Cloudflare con una conexión VPN y así ambos (cliente y servidor) tienen la misma clave de sesión.
A continuación, para terminar, tenéis un esquema que simplifica la explicación de los que es CloudFlare Keyless SSL:
Autor: Ernesto González Pradas