Pentru a configura un certificat SSL, unul dintre clienții noștri, Alexei, a urmat un ghid pas cu pas și părea că totul a mers bine. Dar au început să apară mai târziu consecințe negative, de exemplu, mult timp de încărcare, inaccesibilitate parțială a unui site web. Toate acestea au fost foarte frustrante pentru Alexei, deoarece se aștepta doar de la instalarea certificatului SSL pentru a îmbunătăți performanța proiectului său web. Sprijinul nostru a decis să se ocupe de erorile de configurare și să-l ajute pe Alexey să protejeze datele vizitatorilor de site-ul său.
Dacă configurați SSL în mod incorect, nu va exista nici un beneficiu din cel mai bun certificat
Alexey a ales un certificat SSL de la un furnizor care a promis cel mai înalt nivel de protecție cu câteva clicuri. După ce a studiat informațiile, Alex a înțeles că nu ar fi suficient un simplu certificat care să verifice doar domeniul. El a ales o soluție de clasă mijlocie și a comandat un certificat SSL cu verificarea companiei. Anterior, am luat deja în considerare diferite niveluri de validare.
După ce a trecut verificarea și a primit fișierele de certificate, Alexei și-a luat instalarea. El a urmat pas cu pas ghidul de instalare. Dar ceva a mers prost ... Pagina a început să se încarce mai lent, uneori nu era disponibilă și, așa cum sa dovedit în testul de la Qualys SSL Labs, nu era într-adevăr protejată. Ce sa întâmplat?
Erori de configurare datorate managementului învechit
Alexei ne-a contactat și a trimis rezultatele testului serverului SSL, deoarece nu i-au fost foarte clare. De asemenea, l-am rugat pe Alexey să ne trimită un ghid, conform căruia a instalat un certificat SSL. Cu toate acestea, sa dovedit că instrucțiunile nu au luat în considerare situația actuală din domeniul securității, ceea ce a făcut ca mulți utilizatori să rămână în pericol, chiar și cu un certificat.
Configurația SSL pentru schimbul de taste
Apoi, am analizat modul în care sunt schimbate cheile. Testul SSL de la Qualys pentru acest lucru vă permite să simulați procesul de strângere de mână. Sa dovedit că sprijinul SNI a fost activat, dar din secretul direct Alex a refuzat. Secretul secret (abreviat ca PFS, de la "Perfect Forward Privacy") este o funcție care folosește cheia sesiunii, astfel încât, retrospectiv, este imposibil să se descifreze mesajele transmise. După încheierea sesiunii, cheia sesiunii este ștersă și conexiunea rămâne în secret. Veți afla mai multe despre acest lucru în articolul nostru "Configurarea secretului direct".
Apoi, i-am explicat lui Alexei că validitatea certificatului, autoritatea autorității de certificare și algoritmii de hashing folosiți afectează de asemenea evaluarea. Alex a ales un certificat SSL foarte bun, astfel încât pentru a obține o evaluare bună, au fost doar câțiva pași. De fapt, certificatele EV cu valabilitate extinsă sunt evaluate mai înalt, acest lucru a cunoscut-o Alex înainte, dar și-a permis să salveze. Cu toate acestea, sa asigurat că atunci când a emis certificatul, a fost folosită o cheie privată lungă, pe care el o păstra pe un calculator protejat. Alexey a protejat certificatul cu nume de utilizator și parole, așa cum a planificat. Dar erorile în configurarea SSL pot face chiar și cel mai bun certificat inutil.
Modulele cookie trebuie, de asemenea, protejate
Alex a decis să utilizeze cookie-uri. El a adăugat un avertisment adecvat vizitatorilor site-ului și a subliniat utilizarea acestei tehnologii în Politica de confidențialitate.
Cu toate acestea, el nu a observat nimic: cookie-urile trebuie, de asemenea, protejate, în caz contrar posibilitatea creșterii atacului MITM. Folosind steaguri speciale, puteți seta dacă cookie-urile vor fi transmise printr-o conexiune HTTPS sigură sau printr-o conexiune HTTP neprotejată.
Dacă nu stabiliți steaguri de securitate, se întâmplă următoarele: utilizatorul accesează site-ul dvs. prin HTTPS, iar cookie-ul își începe activitatea, adică monitorizează acțiunile acestui utilizator. Ulterior, vizitatorul revine, dar de data aceasta accesează site-ul prin HTTP. Cookie-ul este încă trimis la aplicația web. Într-o astfel de situație, un atacator poate să urmărească un cookie, să se poată impersona cu un utilizator și să acționeze în mod liber în numele său.
Utilizarea HSTS pentru a remedia erorile
După cum vedem, abilitatea de a gestiona site-urile criptate prin HTTP, adică printr-un canal neprotejat, deschide o gaură mare de securitate. Această problemă poate fi rezolvată cu ajutorul mecanismului HSTS. HSTS (scurt pentru "HTTP Strict Transport Security") este o tehnologie care activează forțat o conexiune sigură HTTPS. Toate browserele moderne folosesc HSTS ca standard. HSTS activat stabilește că serverele (HTTP-) trebuie să utilizeze o conexiune securizată. De asemenea, standardul HSTS obligă programele de aplicații să interacționeze cu site-ul numai printr-un canal criptat. Pe scurt: HSTS previne utilizarea HTTP și activează conexiunea HTTPS.
OCSP pentru a spori intimitatea
Folosind metoda "OCSP-Capsare", puteți rezolva problemele cauzate de OCSP. La intervale regulate, de exemplu, la fiecare oră, serverul web primește un răspuns OCSP cu privire la starea propriului său certificat. Acest răspuns este trimis direct browserului utilizatorului în timpul strânsei mâinilor inițiale. Legătura dintre browserul utilizatorului și răspunsul OCSP nu este necesară în acest scop. Securitatea procesului este asigurată de faptul că răspunsul răspunsului OCSP este întotdeauna semnat de către responsabilul OCSP al CA, iar această semnătură este verificată de browser.
HPKP - fixarea cheii publice
Este posibil să aveți încredere într-un certificat din lanțul de certificate de bază și certificate intermediare? Pentru a obține un răspuns la această întrebare, se folosește o procedură numită HPKP, abreviată de la HTTP Public Key Pinning. Funcția de fixare a cheii publice vă permite să determinați când a fost modificată cheia publică a certificatului pentru o anumită gazdă. Acest lucru se poate întâmpla cu certificatele compromise. Astfel, HPKP devine un mecanism care verifică autenticitatea certificatelor SSL / TLS.
Setarea corectă a certificatului SSL: instrucțiuni în care puteți avea încredere
Desigur, instrucțiunile de instalare pot fi de încredere și necesare, dar trebuie să fie actualizate. Următoarele recomandări din surse fiabile vă vor ajuta să evitați greșelile:
Recomandări generale
Următoarele recomandări sunt de natură generală și, prin urmare, servesc drept ghid:
- Utilizați o conexiune HTTPS securizată pentru toate serviciile Web;
- redirecționare automată: pentru a evita apelurile necriptate către server, configurați redirecționarea automată la versiunea HTTPS;
- Bibliotecile TLS: se bazează numai pe cele mai recente versiuni. Când utilizați TLS, nu excludeți pe nimeni, dar dacă utilizați SSL neprotejat, includeți și potențiali hackeri;
- configurați HSTS pentru a vă asigura că conexiunile necriptate sunt excluse. Acest lucru se poate face în două moduri: în primul rând, puteți completa antetul HSTS astfel încât browserul să acceseze doar versiunea HTTPS a site-ului. În al doilea rând, puteți pune site-ul în lista de pre-încărcare HSTS. Acesta notifică browserele moderne că cererile HTTP trebuie redirecționate automat către HTTPS;
- comandă certificate SSL / TLS numai pe site-uri de încredere;
- cel mai bine este să comandați certificate SSL cu Validare extinsă. Acestea cresc încrederea vizitatorilor în fiabilitatea site-ului dvs.
- asigurați-vă că furnizorul dvs. de certificate SSL le înlocuiește rapid în caz de compromis. În importanța acestui aspect, am devenit convinși după o schimbare masivă a certificatelor din cauza Heartbleed;
- Utilizați mecanisme, cum ar fi SFP, pentru a preveni retrospectiva decodificării datelor, dacă acestea ar putea fi obținute.
Suportul nostru este gata să răspundă la toate întrebările dvs. și vă va ajuta să vă protejați site-ul!
Cumpărați certificatul SSL
Asigurați-vă că datele transmise sunt protejate cu un certificat SSL
Trimiteți-le prietenilor: