Salve gujeiros…
Consegui gerar o certificado atravez do keytool e rodar o site na minha maquina na forma de https sem problemas, a minha pergunta é, só isso ja garante a criptografia dos dados ?? Ou eu tenho que implementar a criptografia em toda transação que eu fizer na minha página ?? Alguém tem algum material sobre isso, cheguei a ler o artigo do guj aqui, mas acredito ser voltado mais para applets… Toda sugestão é bem vinda…
Vlww
Na ultima revista MundoJava ela vem falando só sobre isso !!!
humm, interessante… Mas tem algum material online ??
Se você configurou o seu Web Server (Tomcat, Apache, Jetty, etc) para aceitar conexão HTTPS (SSL/TLS), toda a comunicação de dados entre o browser do cliente e o Web Server vai ser criptografado.
O que você está chamando de transação?
Para que um site seja acessado via HTTPS só é necessário configurar o Web Server. Você só tem que tomar cuidado no seu código de fazer as referencias de maneira relativa (não colocar tipo http://blabla.com.br/meuservico no seu código e nas suas páginas).
Configurei o tomcat para aceitar https, mas achei que além disso precisava implementar mais alguma coisa nas transaçõs (Submits, Requests ) da servlet. Sendo assim acho que ja consegui o que queria, grato a todos…
Outra pergunta, aqui no guj mesmo tem um post de um cara que gerou um certificado atraves do openssl. Eu consegui gerar esse certificado e esta rodando minha aplicação sem problemas. Porém ele ainda aparece aquela tela dizendo que o certificado naum eh seguro etc etc etc. Eu resolvi isso instalando manualmente o certificado, ou seja, clicando em cima dele duas vezes. A minha pergunta é, li em alguns sites que existe a possibilidade de se solicitar a instalação desses certificados automaticamente. Isso existe realmente ?? Ou eu devo repassar esse certificado a todos que forem utilizar o meu sistema ??
Certificados gerados pelo keytool (JDK) ou OpenSSL são chamados de auto-assinados, ou seja não são assinados por uma “CA” (Certificate Authority), que são as empresas que emitem certificados “de verdade”. Ou seja, não tem ninguem “garantindo” que este certificado é verdadeiro. O browser ao acessar um site seguro, recebe do servidor o certificado e verifica se o mesmo tem “garantia” de uma “CA”. Caso não tenha esta “garantia” (assinatura da CA), o browser irá exibir a mensagem perguntando se você quer mesmo acessar este site. Se você disser que sim e ainda instalar este certificado no seu browser, as próximas vezes que você acessar o site ele irá considerar “com garantia”. Não é possível bular este esquema. Somente comprando um certificado “de verdade” é que a mensagem não irá aparecer.
Lembrando que se optar por importar o certificado “auto-assinado”, isto só irá valer para aquele computador e para o browser que está importando o certificado. Não é necessário repassar o certificado. lembrando que mesmo o certificado sendo auto-assinado, a conexão será criptografada. Apenas não a a garantia que o site é “verdadeiro”.