Geekly articles weekly

Cara mengkonfigurasi HTTPS - Generator Konfigurasi SSL akan membantu

Kami berbicara tentang alat konfigurasi SSL yang dikembangkan Mozilla.

Di bawah cut - about kemampuannya dan utilitas lain untuk mengatur situs.


Foto - Lai Man Nung - Unsplash

Mengapa saya membutuhkan generator?


Sebelum beralih ke cerita tentang kemampuan alat, mari kita bicara tentang tujuannya. Saat bekerja dengan HTTPS, enkripsi digunakan dalam empat kasus : selama pertukaran kunci, dalam sertifikat SSL , saat mengirim pesan dan kompilasi jumlah hash ( intisari ).

Masing-masing dari mereka menggunakan set algoritma yang berbeda, yang disetujui oleh klien dan server. Mereka memilih cipher asimetris untuk β€œjabat tangan,” cipher simetris untuk penyandian pesan, dan algoritma hashing untuk intisari.

Sebagai contoh, paket sandi ECDHE-ECDSA-CHACHA20-POLY1305 berarti bahwa pertukaran kunci berlangsung sesuai dengan protokol Diffie-Hellman pada kurva eliptik ( ECDHE ). Dalam hal ini, kunci sesaat (satu kali) digunakan untuk membuat hanya satu koneksi. Otoritas sertifikasi menandatangani sertifikat menggunakan Elliptic Curve Digital Signature Algorithm ( ECDSA ), dan algoritma ChaCha20 in-line digunakan untuk mengenkripsi pesan. POLY1305, yang menghitung autentikator 16-byte, bertanggung jawab atas integritasnya.

Daftar lengkap semua kombinasi algoritma yang tersedia dapat ditemukan di halaman wiki Mozilla .

Ada alat khusus di jaringan untuk mengkonfigurasi metode kriptografi yang digunakan oleh server. Fungsi ini memiliki Generator Konfigurasi SSL , yang dikembangkan di Mozilla.

Seperti apa dia


Mozilla menawarkan tiga konfigurasi yang disarankan untuk server menggunakan TLS:

  • Modern - untuk bekerja dengan klien menggunakan TLS 1.3 tanpa kompatibilitas ke belakang.
  • Menengah - Konfigurasi yang disarankan untuk sebagian besar server.
  • Tidak digunakan lagi - akses ke layanan dilakukan menggunakan klien atau pustaka lama, seperti IE8, Java 6 atau OpenSSL 0.9.8.

Sebagai contoh, dalam kasus pertama, generator menggunakan algoritma enkripsi AES128 / 256 , algoritma hash SHA256 / 384, dan mode operasi cipher blok simetris GCM . Berikut adalah contoh rangkaian sandi: TLS_AES_256_GCM_SHA384.

Dalam kasus kedua, jumlah sandi yang digunakan jauh lebih besar, karena banyak dari mereka telah dikeluarkan dari TLS 1.3 untuk meningkatkan keamanan. Plus, TLS 1.3 cipher suite tidak menjelaskan jenis sertifikat dan mekanisme pertukaran kunci. Oleh karena itu, dalam konfigurasi menengah ada protokol Diffie-Hellman dengan kunci sementara dan RSA .

Berdasarkan persyaratan ini, Generator Konfigurasi SSL membuat file konfigurasi (OpenSSL). Saat membangun, Anda dapat memilih perangkat lunak server yang diperlukan: Apache, HAProxy, MySQL, nginx, PostgreSQL dan lima lainnya. Berikut adalah contoh konfigurasi modern untuk Apache:

# generated 2019-07-04, https://ssl-config.mozilla.org/#server=apache&server-version=2.4.39&config=modern # requires mod_ssl, mod_socache_shmcb, mod_rewrite, and mod_headers <VirtualHost *:80> RewriteEngine On RewriteRule ^(.*)$ https://%{HTTP_HOST}$1 [R=301,L] </VirtualHost> <VirtualHost *:443> SSLEngine on SSLCertificateFile /path/to/signed_cert_and_intermediate_certs SSLCertificateKeyFile /path/to/private_key # enable HTTP/2, if available Protocols h2 http/1.1 # HTTP Strict Transport Security (mod_headers is required) (63072000 seconds) Header always set Strict-Transport-Security "max-age=63072000" </VirtualHost> # modern configuration, tweak to your needs SSLProtocol all -SSLv3 -TLSv1 -TLSv1.1 -TLSv1.2 SSLHonorCipherOrder off SSLSessionTickets off SSLUseStapling On SSLStaplingCache "shmcb:logs/ssl_stapling(32768)"

Konfigurasi yang dihasilkan dapat digunakan dalam proyek Anda, Anda hanya perlu mengedit sertifikat dan jalur kunci pribadi dan memuat pengaturan. Namun, seperti yang dikatakan oleh salah seorang penghuni Berita Hacker, penting untuk memperhatikan versi server untuk mendapatkan hasil yang benar. Secara khusus, output untuk nginx 1.0 dan nginx 1.4 berbeda secara signifikan. Ada juga pendapat bahwa dalam beberapa kasus akan diperlukan untuk memperbaiki secara manual bagian dari cipher suites yang dihasilkan untuk menjaga kompatibilitas ke belakang dan mendapatkan nilai tinggi dalam tolok ukur untuk merayapi situs.

Utilitas lain apa yang akan membantu dengan perlindungan situs?


Ada beberapa utilitas dalam portofolio Mozilla yang dapat membantu Anda memverifikasi keandalan sumber daya setelah mengkonfigurasi SSL.

Yang pertama adalah Mozilla Observatory . Awalnya, perusahaan mengembangkan alat untuk memeriksa keamanan domainnya sendiri. Sekarang tersedia untuk semua orang bersama dengan kode sumber . Situs pemindaian memindai kerentanan paling populer, di antaranya: cookie yang berpotensi berbahaya , kerentanan XSS , dan pengalihan . Setelah pemindaian, sistem memberikan serangkaian rekomendasi untuk meningkatkan keamanan sumber daya Internet.


Foto - sebastiaan stam - Unsplash

Alat lain yang bermanfaat adalah Firefox Monitor . Ini memantau kebocoran data terbaru dan mengirimkan pemberitahuan jika informasi dari situs mana pun jatuh ke tangan peretas. Dengan demikian, administrator mendapat kesempatan untuk mengambil tindakan cepat, meminimalkan kerusakan dan memastikan bahwa cerita tidak terjadi lagi di masa depan.

Publikasi kami dari blog dan jejaring sosial:

Bagaimana cara melindungi server virtual di Internet
Mengapa pemantauan perlu dilakukan?
Memperoleh sertifikat OV dan EV - apa yang perlu Anda ketahui?

Pengindeksan seluler pertama mulai 1 Juli - bagaimana cara memeriksa situs Anda?
1Cloud Private Cloud FAQ

Cara mengevaluasi kinerja penyimpanan di Linux: benchmark menggunakan alat terbuka
Ada yang mengatakan bahwa teknologi DANE untuk browser telah gagal

Source: https://habr.com/ru/post/id459002/

More articles:


All Articles