[SP-pm] Troca de HTTP para HTTPS

Renato Santos renato.cron at gmail.com
Wed Mar 16 13:15:08 PDT 2011 

Opa Stainislaw!

Belo ponto, uma das coisas que ouvi enquanto testava foi:

> "quando mando um request, o segundo programa não funciona"

traduzindo seria algo como:
*o segundo request fica esperando até que o primeiro complete-se.*

A equipe da empresa que estou é formada por Eu (que aprendi linux "na marra"
e não sei nada muito avançado, por exemplo, sei o que é iptables, mas nem
pense eu dizer para eu edita-lo), um outro programador .not (C#) e um
especialista em marketing metido* (mas ele é legal) *a sysadmin!

Então ele que "resolve" esses problemas de certificados e rotas dos
firewalls/hardware.

Eu sempre tento acompanhar ele para aprender essas coisas, mas nem sempre
é possível.
Escrevi tudo isso para dizer que nem eu, nem ele, sabemos configurar
um lighttpd
com a mesma facilidade do apache.
Não que isso seja um impedimento, pois se necessário, iremos pesquisar como!

Mas por um futuro, tomara que não longo, não temos nem banda, nem
processadores para 10k de coneções!

Quando chegar o certificado, vou testa-lo via FastCGI com apache, pois já
resolve o problema do "lock"

Temos muitas coisas para mudar na estrutura para podemos crescer
escaladamente

Lorn,

Ufa! que bom saber que pelo menos meu raciocínio que o HTTPS é transparente
para o HTTP.

Agora é esperar pela compra, e testar.

O Eduardow achou o HTTP::Daemon::SSL, mas cairia no mesmo "BUG" do lock, e o
FastCGI é uma melhor opção!


obs para lista: houve trocas de e-mails internas, então esta msg pode conter
textos no tempo errado!

2011/3/16 Stanislaw Pusep <creaktive at gmail.com>

> Aliás, me lembrei do AnyEvent::HTTPD, uma alternativa ao HTTP::Daemon. Ele
> atende a múltiplas conexões simultâneas (não chega a C10k, rsss), e acabei
> de ver que implementa HTTPS!
>
> my $httpd =
>    AnyEvent::HTTPD->new (
>       port => 443,
>       ssl  => { cert_file => "/path/to/my/server_cert_and_key.pem" }
>    );
>
> ABS()
>
>
>
>
> 2011/3/16 Lindolfo Lorn Rodrigues <lorn.br at gmail.com>
>
>> Você pode continuar usando o seu codigo, e o HTTP::Daemon apensar
>> colocando um Nginx na frente ( o nginx trataria todos os problemas de SSL )
>> e faria o proxy para o seu codigo HTTP::Daemon na porta 8029
>> transparentemente.
>>
>>
>> 2011/3/16 Stanislaw Pusep <creaktive at gmail.com>
>>
>>> Renato, creio que seria mais robusto colocar um servidor HTTP "parrudo"
>>> entre a Internet e o daemon em Perl. Argumento: HTTP::Daemon dificilmente
>>> trata do C10k (http://en.wikipedia.org/wiki/C10k_problem). Não que seja
>>> crítico, mas é meio que bom-senso, do ponto de vista da escalabilidade :)
>>> Um servidor HTTP extremamente leve e aonde configurar FastCGI é
>>> ridiculamente simples é o lighttpd. Veja a documentação do uso do HTTPS com
>>> lighttpd: http://redmine.lighttpd.net/wiki/lighttpd/Docs:SSL
>>> Já para habilitar o FastCGI, é *SÓ ISSO*:
>>>
>>> server.modules = (
>>>     "mod_fastcgi",
>>> )
>>>
>>> <http://redmine.lighttpd.net/wiki/lighttpd/Docs:SSL>
>>> fastcgi.server = (
>>>     "" => (
>>>         "webapp" => (
>>>             "host"          => "127.0.0.1",
>>>             "port"          => 55900,
>>>         )
>>>     )
>>> )
>>>
>>> ABS()
>>>
>>>
>>>
>>> 2011/3/16 Renato Santos <renato.cron at gmail.com>
>>>
>>>>  Olá Perlssoas,
>>>>
>>>> Estou precisando (na realidade, vou precisar) de ajuda para fazer uma
>>>> troca de HTTP para HTTPS.
>>>>
>>>> Estou utilizando o modulo* HTTP::Daemon *para criar um servidor (um
>>>> servidor RPC2 XML usando o modulo *Frontier::RPC2*)
>>>> que fica esperando por coneções na porta 8029 (mas pode ser 'qualquer
>>>> uma'!)
>>>>
>>>> Pelo que entendo, o HTTPS é um "tunel" seguro, e, mesmo que passe por
>>>> vários lugares, ninguém até o servidor (ou cliente, na 'volta') sabe o
>>>> conteúdo.
>>>> Quando o *Request* é entregue no servidor *(servidor como software [ex:
>>>> apache, serviço perl]) *e que o conteúdo é descriptografado e lido por
>>>> algum programa, que executa o que estiver programado pelo resquest.
>>>>
>>>> A pergunta mais simples que posso fazer, é, vamos comprar está
>>>> certificação aqui:
>>>>
>>>> http://www.certisign.com.br/produtos-e-servicos/certificados-para-servidor-web/certificado-para-servidor-web-icp-brasil
>>>>
>>>>
>>>> <http://www.certisign.com.br/produtos-e-servicos/certificados-para-servidor-web/certificado-para-servidor-web-icp-brasil>Podemos
>>>> utiliza-la, certo?
>>>>
>>>> E a segunda pergunta é, como mudo o *HTTP::Daemon* para HTTPS?
>>>> Lendo a pagina2(instalando o certificado no apache openssl)* presumo que
>>>> o HTTPS só vai ficar disponivel para as coneções que passarem pelo apache.
>>>>
>>>> Então, terei que criar alguma forma de executar o codigo pelo apache,
>>>> pode ser então via mod_php, mod_perl, mod_fcgid onde o request(
>>>> header+content) chegará limpo (sem criptografia) e o que eu devolver, será
>>>> criptografado e entregue.
>>>>
>>>> * pagina2:
>>>> http://www.certisign.com.br/suporte/procedimentos/instalacao-do-certificado-apache-openssl/instalando-o-certificado-no-apache-openssl
>>>>
>>>> Eu posso usar um outro servidor, como por exemplo *Mojolicious::Lite *  mas
>>>> eu sei que isso é uma parte transparente, e talvez me sirva, se eu alterar a
>>>> pasta para executar com fast_cgi
>>>>
>>>> Peço a ajuda de vocẽs para me clarear as idéas, pois nunca fiz nada com
>>>> HTTPS, e gostaria de ajuda
>>>>
>>>> Podem xingar se não entenderam alguma coisa! Eu explico de outro modo!
>>>>
>>>> --
>>>> Renato Santos
>>>> http://www.renatocron.com/blog/
>>>>
>>>> =begin disclaimer
>>>>   Sao Paulo Perl Mongers: http://sao-paulo.pm.org/
>>>>  SaoPaulo-pm mailing list: SaoPaulo-pm at pm.org
>>>>  L<http://mail.pm.org/mailman/listinfo/saopaulo-pm>
>>>> =end disclaimer
>>>>
>>>>
>>>
>>> =begin disclaimer
>>>   Sao Paulo Perl Mongers: http://sao-paulo.pm.org/
>>>  SaoPaulo-pm mailing list: SaoPaulo-pm at pm.org
>>>  L<http://mail.pm.org/mailman/listinfo/saopaulo-pm>
>>> =end disclaimer
>>>
>>>
>>
>>
>> --
>> lorn at lornlab dot org
>> Lindolfo "Lorn" Rodrigues
>>
>>
>
> =begin disclaimer
>   Sao Paulo Perl Mongers: http://sao-paulo.pm.org/
>  SaoPaulo-pm mailing list: SaoPaulo-pm at pm.org
>  L<http://mail.pm.org/mailman/listinfo/saopaulo-pm>
> =end disclaimer
>
>


-- 
Renato Santos
http://www.renatocron.com/blog/
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://mail.pm.org/pipermail/saopaulo-pm/attachments/20110316/8e88da5a/attachment-0001.html>

More information about the SaoPaulo-pm mailing list