A "Net Segura" com autenticação e encriptação

Olá,
Se não acreditou no nosso anúncio do dia 1 de Abril, estão errados por
não sonhar.
O nosso anúncio é uma mentira unicamente em 20%... talvez 30% Não
bloqueamos as portas HTTP nem POP3 ... mas talvez ... TELNET
está morto não ? Resumindo, teremos a possibilidade de vos dar todos
os detalhes quando a base estiver "done" ...

Em todos os casos, na Ovh, encontrará um nome de domínio com
o ecofax nacional e o SSL class 1 por 5.99Euros s/IVA/ano tudo incluído
e os que já têm um nome de domínio na Ovh poderão pedir estes serviços
adicionais gratuitamente...

O movimento está a caminho... ele virá dos alojadores... mas demorará
alguns anos... e não num abrir e fechar de olhos...

Relativamente a VSDL2, por questões técnicas está norma é proibida
em França. Pois, os débitos da VSDL2 em Mbps são de cerca de 20
vezes superiores aos da ADSL2. Este sinal é tão forte que a ADSL é
demasiado perturbada e não funciona. Resumindo, o VSDL avaria a
ADSL e então ou é a ADSL ou a VSDL.

Para a França, a ARCEP escolheu a ADSL, provavelmente para proteger
os investimentos dos operadores de telecomunicação que desenvolveram
a sua rede nos NRA com todos os DSLAM ADSL e todas as BOX ADSL. Com
a VSDL, seria preciso deitar tudo para o lixo. Não é cool. Em vez disso, os
operadores devem investir na... fibra óptica. Será o que eles fazem ? E
porquê ? Para propor essencialmente a mesma coisa que podemos ter com
a VSDL2 ... Não é cool mas também não é lógico.

Em VSDL2 pode ter simetricamente 34Mbps/34Mbps ou asemetricamente
10Mbps/100Mbps num simples par de cobre tanto que hoje podem ter na
fibra óptica , se tiver a sorte de viver no sitio certo na altura certa. Podemos
então concluir que em França dentro de 50 anos, toda a gente terá o
equivalente de débitos que já podemos ter hoje na Alemanha ou na Bélgica.
É verdade que para o mercado dos particulares que vêm televisão a noite via
a box, as vantagens de uma tal ligação são reduzidas. Porquê tantos Mbps ?
No entanto, esta decisão irá impactar o crescimento das empresas em França
que terão de pagar mais caro do que noutros países Europeus para ter essencialmente
o mesmo serviço. Não é só um problema de atraso tecnológico mas de competitividade
e de performance do país em comparação aos seus vizinhos Europeus. A França escolheur.
Não vamos lutar. A Ovh irá propor no entanto performance e preços interessantes para
as empresas baseando-se nas normas que foram validadas pela ARCEP. Os teste foram
validadas em laboratórios e serão validadas em produção dentro de alguns meses... em
Roubaix Valley ... Depois, o tempo de degrupamento massivo terá inicio ya vamos rir...
ya... só temos uma vida para rir então melhor fazê-lo com força e bem... Esperemos que
serão muitos a rirem-se connosco neste novo projecto

Amigavelmente,
Octave

Bastante interessante!

Com efeito, estamos a trabalhar actualmente com um gigante americano
de equipamentos de rede (acompanhem o meu raciocínio) sobre esta
futura norma de VDSl2-S que permitirá um débito interessante, mas
assegurará a encriptação de ponta a ponta. Tudo se passará ao nível
da camada 2 do modelo OSI, onde desejámos integrar a autenticação de
pacotes Ethernet graças aos certificados de MAC e encriptação entre
os switches, os modems e routers.
Cada MAC terá o seu próprio certificado e não poderá comunicar com
outros MAC, senão após uma troca de certificados. Também, se um MAC
não tem certificado, ele não poderá comunicar com os outros MAC.
Resumindo, exactamente o mesmo princípio que existe no SSL. Excepto
que será integrado o certificado ao nível dos MAC e IPs e também
a ligação segura será estabelecida entre os computadores de origem
e os sites finais por intermédio de um túnel encriptado, fora da
nossa rede, de forma totalmente automática.
Ninguém poderá "sniffar" os seus pacotes, mesmo um administrador
dentro da vossa empresa. Poder ter confiança, é bom. Poder assegurar
confiança através de boas tecnologias é ainda melhor.
Esta tecnologia funciona no nosso laboratório, mas ainda tem problemas
de performance. Como poderão imaginar, é necessário encriptar bastante
informação em muito baixo nível.
No nosso entender este problema será contornado coma chegada do CPU
de 8 núcleos que o nosso parceiro vai integrar directamente ao nível
do switch 2960-S. O conjunto de clientes em servidores dedicados
poderá assim beneficiar de uma rede segura ao nível 2 OSI e isto sem
Vlans dedicadas, Vlans privadas ou switchports em "mode protected".
Ginga-jogas técnicas que são efectuadas porque a tecnologia que foi
desenvolvida para garantir a segurança não é acessível.

Para todos estes projectos a OVH pensa levar 10 anos. Se formos bem
sucedidos é porque irão utilizar todas estas tecnologias e reconhecem
o seu valor. E irão utilizá-las se estiverem de acordo com a nossa
constatação e sobre os meios que pensamos implementar para rectificar a
Internet de hoje e propor a "Net Segura" de amanhã.

Obrigado pelos vossos feedbacks.

Amigavelmente,
Octave

Bom dia,

Os últimos eventos dão razão às nossas reflexões internas
que desejamos partilhar hoje convosco. O vosso feedback
é essencial para nos permitir tomar decisões que se impõem.
Em suma, é necessário fazer mexer as linhas e pensámos
que o movimento deve ser iniciado pelos alojadores.

Eis as nossas reflexões :

Existem tecnologias que permitem assegurar a "cifragem" das informações
que circulam pela Internet. Estamos a falar de SSL e mais genericamente
de "chaves numéricas", alias certificados.
Certificados para cifrar as informações entre cliente/servidor, mas
também servidor/servidor e para poder autenticar pessoas.

À parte do facto destas tecnologias serem detidas por 2-3 gigantes
americanos, a sua utilização é "bloqueada" através dos preços
praticados. Não é segredo para ninguém que o SSL tem um custo
relativamente caro e mesmo se se dispõe dos meios para os adquirir,
prefere-se não os implementar. Será procura de simplicidade ?
Muitos problemas técnicos ? Falta de hábito ? Preguiça?
De qualquer das formas, será certamente muito por causa do facto
das tecnologias não serem gratuitas e que nem toda a gente as pode
utilizar no quotidiano e no final não as utilizam mesmo.
Existem muitos exemplos que daí resultam:

Foi necessário que um dos gigantes americanos (sigam o meu pensamento)
constatasse o roubo de sessões webmail por parte dos chineses, quando
todos sabem que o tráfego passa por firewalls governamentais, para
tornar obrigatório o uso de SSL no seu webmail.
Nos últimos tempos apenas um FAI Francês colocou SSL nas páginas
"A minha conta". O lugar onde introduzimos o nome de utilizador
e a palavra-passe. E com mais banalidade, muitos dos nossos clientes
propõem páginas do género "O meu espaço" sem encriptar a informação
trocada. O phising, o spam, os "hacks", o packet sniffing, tudo isso
existe, tudo isso é utilizado e as consequências vão desde um simples
roubo de informação, ou de dinheiro até crimes graves com penas de
prisão pesadas por coisas que nem imaginamos.

Fizemos esta constatação já há vários anos. E é por isso que propomos
um certificado SSL não muito caro desde já há 3 anos. Desde então,
reduzimos o preço desta tecnologia numa proporção de 3 vezes há
cerca de 12 meses.

É agora tempo de ir mais longe e colocar todas esta tecnologias
nas mãos dos administradores de sistemas e developers em vez
de serem controladas por algumas empresas americanas (sigam o
meu pensamento) que as vendem a preços exorbitantes.

Há algumas semanas, fizemos um teste de certificados SSL no url
https://test.ovh.com. Obrigado pelos vossos feedbacks
que nos ajudaram a avançar neste projecto de "Net Segura".

A OVH vai distribuir gratuitamente certificados SSL com todos os
nomes de domínio, não apenas registados na OVH, mas todos os nomes
de domínio alojados na OVH. Estão compreendidos os wildcards.
Com uma garantia de 1 Euro para os certificados de classe 1 até
1'000'000 Euro para o EV.

Totalmente gratuitos, mas será necessário alojar os vossos sites
ligados aos vossos nomes de domínio, ou nos nossos alojamentos
partilhados ou em servidores dedicados. Assim fornecer-vos-emos
os certificados "à vontade", gratuitamente e para tudo o que
necessitarem. O objectivo é duplo. Por um lado tornar acessível
todas as tecnologias envolvidas, um pouco à imagem do "open-source"
e popularizá-las junto dos administradores de sistemas, dos utilizadores
finais e dos visitantes. A partir daí criar uma rede totalmente segura
onde a confiança numérica não é apenas uma lei, mas uma realidade
do quotidiano.

Fora da WEB (https) desejámos sensibilizar os sysdamins para a
utilização do SSL no POP3, IMAP e SMTP. O facto de propor a variante
S (SSL) destes 3 protocolos não deve ser uma questão de preferência,
mas deve ser uma imposição, uma prática regular. Para isso, iremos
propor certificados SSL totalmente gratuitos para os servidores.

Vamos integrar nos nossos webmails certificados "de pessoas" que
poderão ser activados apenas com um clique. Assim todos os emails
que irá enviar a partir dos nossos webmails serão assinados com
o seu certificado. A pessoa que receberá o seu email poderá verificar
que o email vem mesmo da sua parte e não foi interceptado/alterado
por um terceiro, isto graças à chave pública.
Pensamos que dentro de 12-18 meses, vamos poder adicionar esta
certificação ao nível dos servidores para verificar as assinaturas
de todos os emails de forma automática.
Irão ser também poder ser classificados os emails como SPAM, ou não,
tendo por base esta assinatura. Em todo o caso, será uma informação
que iremos tomar em conta no algoritmo de detecção de SPAM.

Grosso modo, iremos propor estes "certificados de pessoas" para
substituir, a médio termo, a autenticação com login/palavra-passe
por uma autenticação com um "soft-token". Com efeito, para aceder
à "Minha Conta", "Manager", "O meu Espaço", irão poder esquecer
o login/palavra-passe e utilizar o vosso certificado.
Esqueça o phishing, esqueça os hacks e o packet sniffing. Além de
serem encriptadas, as informações serão autenticadas e portanto o
servidor saberá quem está realmente ligado.
Será um grande avanço tecnológico que a OVH utilizará na proposta
de serviços de pagamento seguro, realmente seguro. Não imaginávamos
fazer de outro modo, pedindo-vos e armazenando o vosso número de cartão
bancário para evitar todos os erros que foram no passado cometidos
por outros actores destes palcos.
Acompanhem o meu raciocínio, sempre gigantes americanos. E nenhum
gigante Europeu nesta matéria ? Isto é normal ?

Nó temos o nosso webmail que pode ser utilizado de maneira segura
sem login/palavra-passe, unicamente graças ao vosso certificado.
Poderão assinar e verificar as assinaturas dos emails que recebem e
enviam. Eis o lugar ideal para vos oferecer um cofre forte de qualidade
com serviços de "timestamp" e armazenamento de longa duração (30 anos).
Assim, cada documento recebido é assinado e poderá ter valor jurídico,
pois não o poderá alterar, nem alterar a sua data. Mas irão certamente
dizer-nos que este documento está armazenado em "clear text". Para isso
há uma solução simples. Adicionaremos uma camada de encriptação no
vosso cofre forte e o conjunto dos vossos documentos são encriptados
automaticamente com a vossa chave pública.
Eles serão assim armazenados de forma encriptada e ninguém os poderá ler
sem ter a sua chave... privada. Nada a ver com os espaços de alojamento
partilhados... euhhh "os cofres fortes" que algumas seguradoras ou bancos
começam a propor aos seus clientes.
Uma verdadeira piada tecnológica... Os nossos cofres fortes autenticados,
encriptados, com timestamp são inteligentes na medida em que eles poderão
receber os documentos tais como uma folha de processamento de salários,
ou uma factura. Simplesmente através de email ! o facto de assinar um
documento, permitirá verificar quem o assinou e logo classificar este
documento no vosso cofre forte, Automaticamente.

Os certificados de pessoas de classe 1 basear-se-ão unicamente num
elemento, por exemplo o seu endereço de email. E os de classe 3 sobre
3 elementos e portanto corresponderão às possibilidades do seu uso...
nos correios ou no seu banco. Com efeito, graças ao projecto IDeNum
do Estado Francês, os certificados de pessoas serão uma realidade na
França num horizonte de tempo de 5 anos aproximadamente. Para declarar
os seus rendimentos já poderá ter necessidade de um tal certificado
que poderá comprar por alguns Euros num suporte de cartão com chip.
Então, porque não generalizá-lo e utilizar a mesma autenticação para
todas as interfaces na Web ?

Esqueça TODAS as suas palavras-passe e nomes de utilizadores que tem
em todos os sites que utiliza - simplifique a sua vida, torne seguras
as suas trocas de informação, autentique-se de maneira segura.
Introduza o seu cartão com chip e navegue de forma segura.

Falamos de 5 anos. Venha 2015. Nesta altura pensamos que será necessário
começar a forçar todos os syadmins que ainda não fizeram a convergência
para a "Net Segura". Com efeito, se apesar do facto de esta possibilidade
ser gratuita, os visitantes ainda utilizam o http, consultam os seus emails
via POP3 e enviam-nos sem os assinar (digitalmente) é porque um
sysdmin não fez o seu trabalho com brio.

A etapa 1 consistirá em tornar mais caros os serviços sem encriptação.
Quer isto dizer que se desejarem que a OVH vos autorize a utilização
servidos não encriptados será necessário pagar mais caro.
2 vezes mais caro em 2015, 3 vezes em 2016... e 10 vezes mais caro
em 2025. Senão ? Senão irá poder utilizar unicamente os serviços encriptados
e seguros pelo mesmo preço - sem acréscimo algum.

A etapa 2 é a parte "dura". A partir de 2025 pensamos que será necessário
reduzir os recursos reservados a estes protocolos não seguros e portanto
diminuir a largura de banda por eles utilizada.
Passando à etapa 3. A partir de 2030 todos os serviços não seguros serão
cortados definitivamente e a "Net Segura" será uma realidade na nossa rede
a nível de alojamento.

Em paralelo, ao nível do acesso à Internet, a OVh proporá VDSL baseado
na futura norma VDSL2-S. Trata-se de um acesso à Internet de 34Mbps,
simétrico sobre um simples par de cabos entrançados de cobre com
encriptação integrada. A não confundir com um simples VPN que é um serviço
sobre a camada IP.

[continua...]