Cómo configurar HTTPS - SSL Configuration Generator ayudará

Estamos hablando de la herramienta de configuración SSL que desarrolló Mozilla.

Bajo el corte: sobre sus capacidades y otras utilidades para configurar sitios.


Fotos - Lai Man Nung - Unsplash

¿Por qué necesito un generador?

Antes de pasar a la historia sobre las capacidades de la herramienta, hablemos sobre su propósito. Cuando se trabaja con HTTPS, el cifrado se usa en cuatro casos : durante el intercambio de claves, en certificados SSL , al enviar mensajes y compilar una suma hash ( resumen ).

Cada uno de ellos utiliza diferentes conjuntos de algoritmos, que el cliente y el servidor acuerdan. Eligen un cifrado asimétrico para un "apretón de manos", un cifrado simétrico para codificar mensajes y un algoritmo hash para un resumen.

Por ejemplo, el conjunto de cifrado ECDHE-ECDSA-CHACHA20-POLY1305 significa que el intercambio de claves se lleva a cabo de acuerdo con el protocolo Diffie-Hellman en curvas elípticas ( ECDHE ). En este caso, las claves efímeras (una vez) se utilizan para establecer una sola conexión. La autoridad de certificación firmó el certificado utilizando el algoritmo de firma digital de curva elíptica ( ECDSA ), y el algoritmo ChaCha20 en línea se utiliza para cifrar mensajes. POLY1305, que calcula un autenticador de 16 bytes, es responsable de su integridad.

Puede encontrar una lista completa de todas las combinaciones de algoritmos disponibles en la página wiki de Mozilla .

Existen herramientas especiales en la red para configurar los métodos criptográficos utilizados por el servidor. Esta funcionalidad tiene SSL Configuration Generator , desarrollado en Mozilla.

Como es el

Mozilla ofrece tres configuraciones recomendadas para servidores que utilizan TLS:

• Moderno : para trabajar con clientes que usan TLS 1.3 sin compatibilidad con versiones anteriores.
• Intermedio : configuración recomendada para la mayoría de los servidores.
• En desuso : el acceso al servicio se lleva a cabo utilizando antiguos clientes o bibliotecas, como IE8, Java 6 u OpenSSL 0.9.8.

Por ejemplo, en el primer caso, el generador utiliza el algoritmo de cifrado AES128 / 256 , el algoritmo hash SHA256 / 384 y el modo de operación de cifrado de bloque simétrico GCM . Aquí hay un ejemplo de un conjunto de cifrado: TLS_AES_256_GCM_SHA384.

En el segundo caso, el número de cifrados utilizados es mucho mayor, ya que muchos de ellos han sido excluidos de TLS 1.3 para aumentar la seguridad. Además, el conjunto de cifrado TLS 1.3 no describe el tipo de certificado y el mecanismo de intercambio de claves. Por lo tanto, en la configuración intermedia hay un protocolo Diffie-Hellman con claves efímeras y RSA .

En base a estos requisitos, el Generador de configuración SSL crea un archivo de configuración (OpenSSL). Al compilar, puede elegir el software de servidor necesario: Apache, HAProxy, MySQL, nginx, PostgreSQL y otros cinco. Aquí hay un ejemplo de una configuración moderna para Apache:

# generated 2019-07-04, https://ssl-config.mozilla.org/#server=apache&server-version=2.4.39&config=modern # requires mod_ssl, mod_socache_shmcb, mod_rewrite, and mod_headers <VirtualHost *:80> RewriteEngine On RewriteRule ^(.*)$ https://%{HTTP_HOST}$1 [R=301,L] </VirtualHost> <VirtualHost *:443> SSLEngine on SSLCertificateFile /path/to/signed_cert_and_intermediate_certs SSLCertificateKeyFile /path/to/private_key # enable HTTP/2, if available Protocols h2 http/1.1 # HTTP Strict Transport Security (mod_headers is required) (63072000 seconds) Header always set Strict-Transport-Security "max-age=63072000" </VirtualHost> # modern configuration, tweak to your needs SSLProtocol all -SSLv3 -TLSv1 -TLSv1.1 -TLSv1.2 SSLHonorCipherOrder off SSLSessionTickets off SSLUseStapling On SSLStaplingCache "shmcb:logs/ssl_stapling(32768)" 

Las configuraciones generadas se pueden utilizar en su proyecto, solo necesita editar el certificado y las rutas de clave privada y cargar la configuración. Sin embargo, como dice uno de los residentes de Hacker News, es importante prestar atención a la versión del servidor para obtener los resultados correctos. En particular, la salida para nginx 1.0 y nginx 1.4 es significativamente diferente. También existe la opinión de que en algunos casos será necesario corregir manualmente parte de los conjuntos de cifrado generados para mantener la compatibilidad con versiones anteriores y obtener altas calificaciones en los puntos de referencia para los sitios de rastreo.

¿Qué otras utilidades ayudarán con la protección del sitio?

Hay varias utilidades en la cartera de Mozilla que pueden ayudarlo a verificar la confiabilidad de un recurso después de configurar SSL.

El primero es el Observatorio de Mozilla . Inicialmente, la compañía desarrolló una herramienta para verificar la seguridad de sus propios dominios. Ahora está disponible para todos junto con el código fuente . Observatory escanea los sitios en busca de las vulnerabilidades más populares, entre ellas: cookies potencialmente peligrosas , vulnerabilidades XSS y redireccionamientos . Después de escanear, el sistema ofrece un conjunto de recomendaciones para mejorar la seguridad de los recursos de Internet.


Foto - sebastiaan stam - Unsplash

Otra herramienta útil es Firefox Monitor . Supervisa las últimas filtraciones de datos y envía notificaciones si la información de cualquier sitio cae en manos de piratas informáticos. Por lo tanto, los administradores tienen la oportunidad de tomar medidas rápidamente, minimizar el daño y asegurarse de que la historia no vuelva a suceder en el futuro.

<sup>Nuestras publicaciones de blogs y redes sociales:

Cómo proteger un servidor virtual en Internet
¿Por qué es necesario el monitoreo?
Obtención de un certificado OV y EV: ¿qué necesita saber?

Primera indexación móvil desde el 1 de julio: ¿cómo verificar su sitio?
Preguntas frecuentes de 1cloud Private Cloud

Cómo evaluar el rendimiento del almacenamiento en Linux: evaluación comparativa utilizando herramientas abiertas
Algunos dicen que la tecnología DANE para navegadores ha fallado</sup>