Nous parlons de l'outil de configuration SSL développé par Mozilla.
Under the cut - sur ses capacités et autres utilitaires pour la mise en place de sites.
Photos - Lai Man Nung - UnsplashPourquoi ai-je besoin d'un générateur
Avant de passer à l'histoire des capacités de l'outil, parlons de son objectif. Lorsque vous travaillez avec HTTPS, le chiffrement est utilisé
dans quatre cas : lors de l'échange de clés, dans
les certificats SSL , lors de l'envoi de messages et de la compilation d'une somme de hachage (
résumé ).
Chacun d'eux utilise différents ensembles d'algorithmes, sur lesquels le client et le serveur sont d'accord. Ils choisissent un chiffrement asymétrique pour une «poignée de main», un chiffrement symétrique pour coder les messages et un algorithme de hachage pour le résumé.
Par exemple, la suite de chiffrement ECDHE-ECDSA-CHACHA20-POLY1305 signifie que l'échange de clés a lieu selon le protocole Diffie-Hellman sur les courbes elliptiques (
ECDHE ). Dans ce cas,
les clés éphémères (à usage unique) sont utilisées pour établir une seule connexion. L'autorité de certification a signé le certificat à l'aide de l'algorithme de signature numérique à courbe elliptique (
ECDSA ), et l'algorithme
ChaCha20 en ligne est utilisé pour crypter les messages. POLY1305, qui
calcule un authentificateur de 16 octets, est responsable de leur intégrité.
Une liste complète de toutes les combinaisons d'algorithmes disponibles se trouve sur la
page wiki de Mozilla .
Il existe des outils spéciaux sur le réseau pour configurer les méthodes cryptographiques utilisées par le serveur. Cette fonctionnalité dispose d'un
générateur de configuration SSL , développé dans Mozilla.
A quoi ressemble-t-il
Mozilla propose trois configurations recommandées pour les serveurs utilisant TLS:
- Moderne - pour travailler avec des clients utilisant TLS 1.3 sans rétrocompatibilité.
- Intermédiaire - Configuration recommandée pour la plupart des serveurs.
- Obsolète - l'accès au service est effectué à l'aide d'anciens clients ou bibliothèques, tels que IE8, Java 6 ou OpenSSL 0.9.8.
Par exemple, dans le premier cas, le générateur utilise l'algorithme de chiffrement
AES128 / 256 , l'
algorithme de hachage
SHA256 / 384 et le mode de fonctionnement de chiffrement par bloc symétrique
GCM . Voici un exemple de suite de chiffrement: TLS_AES_256_GCM_SHA384.
Dans le deuxième cas, le nombre de chiffres utilisés est beaucoup plus important, car beaucoup d'entre eux ont été
exclus de TLS 1.3 pour accroître la sécurité. De plus, la suite de chiffrement TLS 1.3
ne décrit pas le type de certificat et le mécanisme d'échange de clés. Par conséquent, dans la configuration intermédiaire, il existe un protocole Diffie-Hellman avec des clés éphémères et
RSA .
Sur la base de ces exigences, le générateur de configuration SSL crée un fichier de configuration (OpenSSL). Lors de la construction, vous pouvez choisir le logiciel serveur nécessaire: Apache, HAProxy, MySQL, nginx, PostgreSQL et cinq autres. Voici un exemple de configuration moderne pour Apache:
Les configurations générées peuvent être utilisées dans votre projet, il vous suffit de modifier le certificat et les chemins de clé privée et de charger les paramètres. Cependant, comme le dit l'un des résidents de Hacker News, il est important de faire attention à la version du serveur afin d'obtenir les bons résultats. En particulier, la sortie pour nginx 1.0 et nginx 1.4 est considérablement différente. Il
existe également
une opinion selon laquelle dans certains cas, il sera nécessaire de corriger manuellement une partie des suites de chiffrement générées afin de maintenir la compatibilité descendante et d'obtenir des notes élevées dans les références pour les sites d'exploration.
Quels autres utilitaires aideront à protéger le site?
Il existe plusieurs utilitaires dans le portefeuille Mozilla qui peuvent vous aider à vérifier la fiabilité d'une ressource après avoir configuré SSL.
Le premier est l'
Observatoire Mozilla . Au départ, l'entreprise a développé un outil pour vérifier la sécurité de ses propres domaines. Maintenant, il est disponible pour tout le monde
avec le code source . L'Observatoire recherche sur les sites les vulnérabilités les plus courantes, parmi lesquelles:
les cookies potentiellement dangereux , les
vulnérabilités XSS et les
redirections . Après l'analyse, le système donne un ensemble de recommandations pour améliorer la sécurité de la ressource Internet.
Photo - sebastiaan stam - UnsplashFirefox Monitor est un autre outil utile. Il surveille les dernières fuites de données et envoie des notifications si des informations provenant d'un site quelconque tombaient entre les mains de pirates informatiques. Ainsi, les administrateurs ont la possibilité d'agir rapidement, de minimiser les dommages et de s'assurer que l'histoire ne se reproduira pas à l'avenir.
Nos publications de blogs et réseaux sociaux:
Comment protéger un serveur virtuel sur Internet
Pourquoi la surveillance est-elle nécessaire?
Obtention d'un certificat OV et EV - que devez-vous savoir?
Indexation mobile-first à partir du 1er juillet - comment vérifier votre site?
FAQ sur le cloud privé 1cloud
Comment évaluer les performances de stockage sur Linux: analyse comparative à l'aide d'outils ouverts
Certains disent que la technologie DANE pour les navigateurs a échoué