Visão Geral sobre transmissão segura de dados
O conceito de API (Application Program Interface) remete a uma forma prática e padronizável para desenvolvedores construírem soluções de forma simples, permitindo a comunicação de aplicativos com backends.
Tratando-se de comunicação, o protocolo mais utilizados pelas APIs é o HTTP, tanto na comunicação do usuário da API com o backend, tanto como entre APIS.
A Sensedia recomenda que informações confidenciais sejam criptografadas durante a transmissão em redes públicas, porque é fácil e comum para um indivíduo mal-intencionado interceptar e / ou desviar dados enquanto em trânsito.
A transmissão segura requer o uso de:
- Chaves / certificados confiáveis,
- Protocolo seguro para o transporte e uma criptografia adequada para criptografar os dados.
Tecnicamente, protocolos como como SSL, SSH v1.0 e early TLS têm vulnerabilidades conhecidas que um invasor pode usar para obter controle do sistema afetado. Deste modo, solicitações de conexão que resultam em uma conexão insegura não devem ser aceitas.
Ressaltamos que é importante saber quais protocolos os usuário da API clientes suportam, pois se há a necessidade de disponibilizar protocolos inseguros, haverá a necessidade de avaliar os riscos envolvidos com tal situação.
Para saber mais sobre protocolos inseguros, recomendamos a leitura de documentos como o NIST SP 800-52, SP 800-57, OWASP e Qualys TLS Labs . Estes documentos são atualizados periodicamente e dão informações relevantes a este tópico.
Caso queira saber mais sobre os protocolos habilitados no gateway ou para habilitar/desabilitar algum protocolo específico, entre em contato abrindo um ticket no suporte onde iremos te passar mais detalhes.
Como Habilitar um Certificado no API Platform?
A Sensedia aceita duas modalidades de implantação de certificados: Certificado Single Domain, e certificado WildCard. Em uma visão mais ampla, o certificado SSL WildCard, garante o uso total para o Domínio, portanto através deste é possível utilizar qualquer subdomínio desejado dentro do domínio certificado.
Para a aplicação do certificado nos serviços Sensedia, entre em contato com o nosso suporte através do Zendesk.
Para realizar a ativação do certificado, conforme mencionado acima, ficará a seu critério a escolha da entidade certificadora.
Informações importantes
Para a criação de subdomínios é importante saber que qualquer texto pode ser usado, o que dá infinitas possibilidades, porém como boa prática recomendamos que não seja criado um subdomínio de um outro subdomínio, pois este tipo de ação tornará invalido o certificado wildcard inicialmente emitido, por exemplo:
Ex 1:
hlg.meudominio.com
dev.meudominio.com
subdominios: hlg, dev
certificados wildcard necessários: 1
Ex: 2
abc.hlg.meudominio.com
def.dev.meudominio.com
subdominios: abc, def
Certificados wildcard necessários: 2 - Pois há dois domínios: hlg.meudominio.com, dev.meudominio.com
Para evitar a criação de subdomínios para uma segmentação lógica, utilize o hífen ("-") no lugar do ponto (".").
Arquivos Necessários
Para a configuração do certificado no API Platform é necessário abrir um ticket e nos enviar:
- Certificado
- Chave Privada
- Intermediário
Como validar a implantação do certificado?
Para Validar que sua API está com certificado habilitado, basta realizar consultas para alguns serviços de teste online, por exemplo: https://www.ssllabs.com/ssltest/
Política Sensedia SSL Customers
A equipe Sensedia reserva-se o direito de atuar nos limites do escopo do suporte. A gestão de certificados(geração de CSR, armazenamento, assinatura), não faz parte do escopo da gestão de APIs, nem tampouco da administração do API Suite.
É de total responsabilidade do cliente o armazenamento das chaves e certificados. Como recomendação, sugere-se que as mesmas sejam armazenadas em local seguro e com backup.
É recomendável que a geração do CSR seja executada pelo responsável do domínio, de forma a absorver todo o processo de gestão dos certificados.
Caso haja necessidade de utilizar certificados SSL em ambientes gerenciados pela Sensedia é necessário que o solicitante compartilhe os dados e certificados, que serão utilizados exclusivamente nos equipamentos e software necessários para o correto funcionamento do ambiente. Caso haja necessidade de uma re-configuração, a Sensedia reserva-se o direito de solicitar novamente tais informações, excluindo-se da responsabilidade sobre armazenamento/backup desses arquivos.
A gestão de expiração e validade do certificado é de responsabilidade do cliente.
Comentários
0 comentário
Artigo fechado para comentários.