Ficha técnica

 Consulte os Observatory Highlights do mês corrente 

Esta seção apresenta as facetas e decisões técnicas que presidiram ao desenho deste observatório. Por uma questão de completude, faz-se depois referência a alguns observatórios alternativos. Finalmente, a secção termina com um conjunto de agradecimentos às instituições e pessoas que tornaram este resultado possível.

Listas de domínios analisados

Existem diversos organismos que publicam listas de domínios, organizadas, geralmente, em função da popularidade dos mesmos. São exemplos as seguintes: Cisco Umbrella, Alexa e Majestic. No artigo Victor Le Pochat et al é descrito um trabalho que permite aceder a uma lista baseada na fusão das 3 listas acima referidas, a lista Tranco. Dada a abrangência das listas aí disponibilizadas, este observatório utilizou esse site para obter a lista dos 1000 sites mais populares na web e a lista dos 250 sites com domínio terminado em .PT mais populares. Esta última lista foi obtida, extraindo, por ordem, os primeiros sites terminados em .PT da lista dos 300.000 sites mais populares no mundo.

A lista das empresas de gestão de domínios e de hosting de páginas foi composta de acordo com os critérios descritos na seção dedicada a essa faceta da análise. As restantes listas de domínios, organizadas tematicamente, foram compostas manualmente. O conjunto das listas usadas nos testes está disponível na secção dos resultados.

Instrumentação usada

O observatório, na sua forma atual, baseia-se em duas parcerias: o software e os serviços disponibilizados pela inciativa Internet.NL e os resultados publicados pelos APNIC Labs.

A escolha do software da inciativa Internet.NL deve-se à abrangência dos testes que realiza, à disponibilidade pública do software para utilização livre, e ainda à disponibilização de uma funcionalidade para realização periódica de testes a listas de domínios, que incluí a elaboração de relatórios. Esses relatórios permitiram-nos elaborar as tabelas e os workbooks Excel que este observatório torna acessíveis.

O Asia Pacific Network Information Centre (APNIC), Regional Internet Registry para a Ásia e Oceânia, disponibiliza, através do seu laboratório, vários observatórios. Este observatório utiliza os seguintes:  sobre a penetração do IPv6, sobre a execução pelos resolvers DNS de verificações com base na norma DNSSEC, sobre a publicação de BGP Route Origination Authorizations (ROAs) e análise de sua utilização para filtragem de rotas (RPKI).

Parâmetros testados

Sites web

O software de teste utilizado por este observatório permite testar inúmeros parâmetros do funcionamento dos servidores. No que diz respeito aos servidores web, a descrição da totalidade dos parâmetros testados está disponível aqui e os resultados estão acessíveis na seção dos resultados. A justificação de quais os testes realizados pelo software usado inspira-se, em grande medida, nesta recomendação. Abaixo segue uma breve descrição dos testes mais importantes.

  • Tem IPv6 - Os servidores DNS e os servidores HTTP do domínio são acessíveis por IPv6.
  • Tem DNSSEC - Os RRs correspondentes aos nomes dos servidores estão assinados de forma verificável por DNSSEC.
  • Tem HTTPS - É possível abrir uma conexão HTTPS para os servidores.
  • Tem HTTPS redirection - Os pedidos HTTP são redirected para HTTPS.
  • Tem HSTS - Os servidores apresentam um cabeçalho HSTS com validade de pelo menos 1 ano.
  • Versões HTTPS usadas - Teste da adequação das versões HTTPS 1.0 e 1.1 suportadas.
  • Cypher suites usadas - Teste da adequação das suites criptográficas suportadas.
  • Certificado - Os servidores apresentam um certificado X.509 válido, cobrindo o domínio e a sua trust certificate chain está válida.
  • OCSP stapling - O servidor suporta OCSP Stapling.
  • Tem DANE - Existem entradas DANE válidas no domínio.
  • HTTP headers - O servidor responde com o conjunto adequado de cabeçalhos HTTP de segurança.

servidores de email

No que diz respeito aos servidores de email, a descrição da totalidade dos parâmetros testados está disponível aqui e os resultados estão acessíveis na seção dos resultados. Abaixo segue uma breve descrição dos testes realizados mais importantes.

  • Tem IPv6 - Os servidores DNS e os servidores de email associados ao domínio são acessíveis por IPv6.
  • Tem DNSSEC - Os RRs correspondentes aos nomes dos servidores estão de forma verificável por DNSSEC.
  • Tem DMARK - Existe uma entrada DMARC válida no domínio.
  • Tem DKIM - Existe uma entrada DKIM válida no domínio.
  • Tem SPF - Existe uma entrada SPF válida no domínio.
  • Tem START/TLS - Os servidores do domínio suportam STARTTLS.
  • Versões HTTPS usadas - Teste da adequação das versões HTTPS 1.0 e 1.1 suportadas.
  • Cypher suites usadas - Teste da adequação das suites criptográficas suportadas.
  • Certificado - Os servidores apresentam um certificado X.509 válido, cobrindo o domínio e a sua trust certificate chain está válida.
  • Tem DANE - Existem entradas DANE válidas no domínio.

Observatórios



Existem diversos observatórios e funcionalidades que permitem fazer testes do tipo dos testes usados para fazer os relatórios publicados por este observatório. Acima indicamos as razões porque foi selecionada a instrumentação da Internet.NL. Abaixo, encontra-se uma lista mais abrangente.

  • Webcheck.pt - É um site parecido com o Internet.NL mantido pelo Centro Nacional de Ciber Segurança de Portugal (CNCS), assim como pela Associação DNS.PT. Dado um nome de domínio, o site permite realizar testes interactivos aos servidores HTTP e do serviço de correio electrónico associados ao mesmo.
  • TOP - Teste os padrões - É uma iniciativa do NIC do Brasil que faz testes semelhantes aos deste observatório também com base no software disponibilizado pelo Internet.NL.
  • Mozilla observatory - É um observatório montado pela Fundação Mozilla que testa sites web a partir do seu domínio. Centra-se em realizar testes alargados da implementação de TLS e aos cabeçalhos de segurança enviados pelo servidor do domínio testado. Fornece documentação sobre como corrigir as deficiências reportadas.
  • SSL Labs da Qualys - Este observatório é mantido pela empresa Qualys e permite fazer a análise muito detalhada do suporte de TLS por um site web. Apresenta um diagnóstico profundo do certificado e de todas as informações de segurança associadas ao mesmo, das versões e cypher suites TLS suportadas, etc.
  • Censys - A empresa Censys teve origem num projecto académico da Michigan University. Disponibiliza os resultados de um scanning sistemático do espaço de endereçamento, fazendo análise, para cada endereço Internet Protocol Version 4 (IPv4), de quais os protocolos acessíveis na Internet (testa cerca de 2000 portas diferentes) o que permite limitar a "superfície de ataque" de uma instituição.
  • RIPE NCC Analyse - O RIPE, Regional Registry da Europa, Norte de África, Médio Oriente e Ásia próxima, mantém, tal como o APNIC, um laboratório de análise de diversos indicadores da Internet.

Agradecimentos

O ISOC.PT, Capítulo Português da Internet Society, responsável por este observatório, torna aqui público o seu agradecimento às diversas entidades e pessoas que contribuiram para o tornar uma realidade, entre as quais:

  • Internet Society Foundation - Que apoiou, através de subvenções, parte do trabalho necessário ao seu desenvolvimento.
  • Internet Standards Platform - A instituição de enquadramento da iniciativa Internet.NL, por permitir o uso do seu software e serviços.
  • APNIC Labs - Por disponibilizar o uso livre dos seus observatórios.
  • Henrique João Domingos, José Legatheaux e Rogério Reis - Que elaboraram uma primeira versão do trabalho que permitiu o desenvolvimento deste observatório.
  • Bruno Machado, Filipe Luna, Henrique Ferreira e Sara Ferreira  - Que apoiaram facetas técnicas da sua elaboração.
  • José Legatheaux - que coordenou a sua montagem.


Secções do observatório