Мы говорим об инструменте настройки SSL, разработанном Mozilla. Ниже под катом — о его возможностях и других утилитах для настройки сайтов.
Фото - Лай Ман Нунг — Unsplash
Зачем нужен генератор?
Прежде чем перейти к рассказу о возможностях инструмента, поговорим о его предназначении.При работе с HTTPS применяется шифрование в четырех случаях : во время обмена ключами, в SSL-сертификаты , при пересылке сообщений и составлении хеш-суммы ( переваривать ).
Каждый из них использует свой набор алгоритмов, согласованных между клиентом и сервером.
Они выбирают асимметричный шифр для рукопожатия, симметричный шифр для кодирования сообщений и алгоритм хеширования для дайджеста.
Например, набор шифров ECDHE-ECDSA-CHACHA20-POLY1305 означает, что обмен ключами происходит с использованием протокола Эллиптической кривой Диффи-Хеллмана ( ECDHE ).
В этом случае они используются эфемерные ключи (одноразовый) для установления только одного соединения.
Центр сертификации подписал сертификат, используя алгоритм ECDSA (алгоритм цифровой подписи эллиптической кривой), а для шифрования сообщений используется потоковый алгоритм.
ЧаЧа20 .
POLY1305 отвечает за их целостность, расчет 16-байтовый аутентификатор.
Полный список всех доступных комбинаций алгоритмов можно найти по адресу Вики-страница Mozilla .
В Интернете есть специальные инструменты для настройки криптографических методов, используемых сервером.
Эта функциональность имеет Генератор конфигурации SSL , разработанный Mozilla.
Какой он?
Mozilla предлагает три рекомендуемые конфигурации для серверов, использующих TLS:- Современный — для работы с клиентами, использующими TLS 1.3 без обратной совместимости.
- Средний - рекомендуемая конфигурация для большинства серверов.
- Устаревший — доступ к сервису осуществляется с использованием старых клиентов или библиотек, таких как IE8, Java 6 или OpenSSL 0.9.8.
Вот пример набора шифров: TLS_AES_256_GCM_SHA384. Во втором случае количество используемых шифров гораздо больше, так как многие из них Исключенный от TLS 1.3 для повышения безопасности.
Плюс в наборе шифров TLS 1.3. не описано тип сертификата и механизм обмена ключами.
Поэтому в промежуточной конфигурации имеется протокол Диффи-Хеллмана с эфемерными ключами и ЮАР .
Принимая во внимание эти требования, генератор конфигурации SSL создает файл конфигурации (OpenSSL).
При сборке можно выбрать необходимое серверное ПО: Apache, HAProxy, MySQL, nginx, PostgreSQL и еще пять.
Вот пример современной конфигурации Apache:
Сгенерированные конфигурации можно использовать в вашем проекте; вам просто нужно отредактировать пути сертификата и закрытого ключа и загрузить настройки.# generated 2019-07-04, https://ssl-config.mozilla.org/#server=apache&server-version=2.4.39&config=modern # requires mod_ssl, mod_socache_shmcb, mod_rewrite, and mod_headers <VirtualHost *:80> RewriteEngine On RewriteRule ^(.*)$ https://%{HTTP_HOST}$1 [R=301,L] </VirtualHost> <VirtualHost *:443> SSLEngine on SSLCertificateFile /path/to/signed_cert_and_intermediate_certs SSLCertificateKeyFile /path/to/private_key # enable HTTP/2, if available Protocols h2 http/1.1 # HTTP Strict Transport Security (mod_headers is required) (63072000 seconds) Header always set Strict-Transport-Security "max-age=63072000" </VirtualHost> # modern configuration, tweak to your needs SSLProtocol all -SSLv3 -TLSv1 -TLSv1.1 -TLSv1.2 SSLHonorCipherOrder off SSLSessionTickets off SSLUseStapling On SSLStaplingCache " shmcb:logs/ssl_stapling(32768) "
Однако как говорит Один из резидентов Hacker News, важно обращать внимание на версию сервера, чтобы получить правильные результаты.
В частности, выходные данные nginx 1.0 и nginx 1.4 существенно различаются.
Также у меня есть мнение , что в некоторых случаях вам придется вручную исправлять некоторые из сгенерированных наборов шифров, чтобы сохранить обратную совместимость и получить высокий балл в тестах сканирования сайтов.
Какие еще утилиты помогут защитить сайт?
В портфолио Mozilla есть несколько утилит, которые помогут проверить надежность ресурса после настройки SSL. Первый из них Обсерватория Мозилла .Изначально компания разработала инструмент для проверки безопасности собственных доменов.
Теперь это доступно всем вместе с исходным кодом .
Обсерватория сканирует веб-сайты на наличие наиболее популярных уязвимостей, в том числе: потенциально опасные файлы cookie , XSS-уязвимости И перенаправляет .
После сканирования системы она выдает набор рекомендаций по повышению безопасности интернет-ресурса.
Фото - Себастьян Стам — Unsplash
Еще один полезный инструмент — Монитор Firefox .
Он отслеживает последние утечки данных и отправляет уведомления, если информация с какого-либо сайта попадает в руки хакеров.
Это дает администраторам возможность быстро принять меры, минимизировать ущерб и гарантировать, что история не повторится в будущем.
Наши публикации из блогов и социальных сетей:Теги: #Разработка мобильных приложений #Администрирование серверов #Разработка веб-сайтов #Разработка электронной коммерции #HTTPS #SSL #Mozilla #Firefox Monitor #1cloud #Mozilla Observatory
Как защитить виртуальный сервер в Интернете
Зачем нужен мониторинг?
Получение сертификата OV и EV – что нужно знать?
Индексация Mobile-first с первого июля – как проверить свой сайт?
ЧАСТО ЗАДАВАЕМЫЕ ВОПРОСЫ.через частное облако от 1cloud
Как оценить производительность хранилища в Linux: бенчмаркинг с использованием открытых инструментов
Есть мнение: технология DANE для браузеров провалилась
-
Веселое Планирование
19 Oct, 24 -
Китайцам Закрыли Доступ К Живому Журналу
19 Oct, 24 -
Vivaldi Mail 1.0 – Больше, Чем Просто Почта
19 Oct, 24 -
Новые Вещи Не Решат Старых Проблем
19 Oct, 24 -
Права На Изображение
19 Oct, 24
