So konfigurieren Sie HTTPS - SSL Configuration Generator hilft

Wir sprechen über das von Mozilla entwickelte SSL-Konfigurationstool.

Unter dem Strich - über seine Funktionen und andere Dienstprogramme zum Einrichten von Websites.


Fotos - Lai Man Nung - Unsplash

Warum brauche ich einen Generator?

Bevor wir mit der Geschichte über die Funktionen des Tools fortfahren, lassen Sie uns über seinen Zweck sprechen. Bei der Arbeit mit HTTPS wird die Verschlüsselung in vier Fällen verwendet : beim Schlüsselaustausch, bei SSL-Zertifikaten , beim Senden von Nachrichten und beim Kompilieren einer Hash-Summe ( Digest ).

Jeder von ihnen verwendet unterschiedliche Algorithmen, auf die sich Client und Server einigen. Sie wählen eine asymmetrische Verschlüsselung für einen „Handshake“, eine symmetrische Verschlüsselung zum Codieren von Nachrichten und einen Hashing-Algorithmus für den Digest.

Beispielsweise bedeutet die Verschlüsselungssuite ECDHE-ECDSA-CHACHA20-POLY1305, dass der Schlüsselaustausch gemäß dem Diffie-Hellman-Protokoll für elliptische Kurven ( ECDHE ) stattfindet. In diesem Fall werden kurzlebige Schlüssel (einmalig) verwendet, um nur eine Verbindung herzustellen. Die Zertifizierungsstelle hat das Zertifikat mit dem Elliptic Curve Digital Signature-Algorithmus ( ECDSA ) signiert, und der Inline- ChaCha20- Algorithmus wird zum Verschlüsseln von Nachrichten verwendet. POLY1305, das einen 16-Byte-Authentifikator berechnet , ist für deren Integrität verantwortlich.

Eine vollständige Liste aller verfügbaren Kombinationen von Algorithmen finden Sie auf der Mozilla-Wiki-Seite .

Im Netzwerk gibt es spezielle Tools zum Konfigurieren der vom Server verwendeten kryptografischen Methoden. Diese Funktionalität verfügt über den in Mozilla entwickelten SSL-Konfigurationsgenerator .

Wie ist er?

Mozilla bietet drei empfohlene Konfigurationen für Server mit TLS:

• Modern - für die Arbeit mit Clients, die TLS 1.3 ohne Abwärtskompatibilität verwenden.
• Mittelstufe - Empfohlene Konfiguration für die meisten Server.
• Veraltet - Der Zugriff auf den Dienst erfolgt über alte Clients oder Bibliotheken wie IE8, Java 6 oder OpenSSL 0.9.8.

Beispielsweise verwendet der Generator im ersten Fall den AES128 / 256- Verschlüsselungsalgorithmus, den SHA256 / 384- Hash- Algorithmus und die Betriebsart der symmetrischen Blockchiffren GCM . Hier ist ein Beispiel für eine Verschlüsselungssuite: TLS_AES_256_GCM_SHA384.

Im zweiten Fall ist die Anzahl der verwendeten Chiffren viel größer, da viele von ihnen aus TLS 1.3 ausgeschlossen wurden, um die Sicherheit zu erhöhen. Außerdem beschreibt die TLS 1.3-Verschlüsselungssuite nicht die Art des Zertifikats und den Schlüsselaustauschmechanismus. Daher gibt es in der Zwischenkonfiguration ein Diffie-Hellman-Protokoll mit kurzlebigen Schlüsseln und RSA .

Basierend auf diesen Anforderungen erstellt der SSL-Konfigurationsgenerator eine Konfigurationsdatei (OpenSSL). Beim Erstellen können Sie die erforderliche Serversoftware auswählen: Apache, HAProxy, MySQL, Nginx, PostgreSQL und fünf weitere. Hier ist ein Beispiel für eine moderne Konfiguration für Apache:

# generated 2019-07-04, https://ssl-config.mozilla.org/#server=apache&server-version=2.4.39&config=modern # requires mod_ssl, mod_socache_shmcb, mod_rewrite, and mod_headers <VirtualHost *:80> RewriteEngine On RewriteRule ^(.*)$ https://%{HTTP_HOST}$1 [R=301,L] </VirtualHost> <VirtualHost *:443> SSLEngine on SSLCertificateFile /path/to/signed_cert_and_intermediate_certs SSLCertificateKeyFile /path/to/private_key # enable HTTP/2, if available Protocols h2 http/1.1 # HTTP Strict Transport Security (mod_headers is required) (63072000 seconds) Header always set Strict-Transport-Security "max-age=63072000" </VirtualHost> # modern configuration, tweak to your needs SSLProtocol all -SSLv3 -TLSv1 -TLSv1.1 -TLSv1.2 SSLHonorCipherOrder off SSLSessionTickets off SSLUseStapling On SSLStaplingCache "shmcb:logs/ssl_stapling(32768)" 

Generierte Konfigurationen können in Ihrem Projekt verwendet werden. Sie müssen lediglich die Pfade für Zertifikate und private Schlüssel bearbeiten und die Einstellungen laden. Wie einer der Bewohner von Hacker News sagt , ist es jedoch wichtig, auf die Serverversion zu achten, um die richtigen Ergebnisse zu erzielen. Insbesondere die Ausgabe für Nginx 1.0 und Nginx 1.4 unterscheidet sich erheblich. Es besteht auch die Meinung, dass in einigen Fällen ein Teil der generierten Cipher Suites manuell korrigiert werden muss, um die Abwärtskompatibilität aufrechtzuerhalten und gute Noten in den Benchmarks für das Crawlen von Sites zu erzielen.

Welche anderen Dienstprogramme helfen beim Site-Schutz?

Das Mozilla-Portfolio enthält mehrere Dienstprogramme, mit denen Sie die Zuverlässigkeit einer Ressource nach der Konfiguration von SSL überprüfen können.

Das erste ist das Mozilla-Observatorium . Zunächst entwickelte das Unternehmen ein Tool zur Überprüfung der Sicherheit seiner eigenen Domains. Jetzt steht es allen zusammen mit dem Quellcode zur Verfügung . Das Observatorium durchsucht Websites nach den beliebtesten Sicherheitslücken, darunter potenziell gefährliche Cookies , XSS-Sicherheitslücken und Weiterleitungen . Nach dem Scannen gibt das System eine Reihe von Empfehlungen zur Verbesserung der Sicherheit der Internetressource.


Foto - sebastiaan stam - Unsplash

Ein weiteres nützliches Tool ist Firefox Monitor . Es überwacht die neuesten Datenlecks und sendet Benachrichtigungen, wenn Informationen von einer Website in die Hände von Hackern gelangen. Auf diese Weise erhalten Administratoren die Möglichkeit, schnell Maßnahmen zu ergreifen, Schäden zu minimieren und sicherzustellen, dass die Story in Zukunft nicht erneut auftritt.

<sup>Unsere Veröffentlichungen aus Blogs und sozialen Netzwerken:

So schützen Sie einen virtuellen Server im Internet
Warum ist eine Überwachung notwendig?
Erhalt eines OV- und EV-Zertifikats - was müssen Sie wissen?

Mobile-First-Indizierung ab dem 1. Juli - Wie überprüfe ich Ihre Website?
1cloud Private Cloud FAQ

So bewerten Sie die Speicherleistung unter Linux: Benchmarking mit offenen Tools
Einige sagen, dass die DANE-Technologie für Browser fehlgeschlagen ist</sup>