SSL paslaugų stiprinimas jūsų žiniatinklio serveryje („Apache“/ „Linux“): 3 veiksmai

2024 Autorius: John Day | [email protected]. Paskutinį kartą keistas: 2024-01-30 10:48

Tai labai trumpa pamoka, susijusi su vienu kibernetinio saugumo aspektu - ssl paslaugos stiprumu jūsų žiniatinklio serveryje. Fonas yra tas, kad jūsų svetainės SSL paslaugos yra naudojamos siekiant užtikrinti, kad niekas negalėtų įsilaužti į jūsų svetainę ir iš jos perduodamus duomenis. Buvo daug viešų išpuolių prieš pažeidžiamas SSL paslaugas, tokias kaip „Heartbleed“klaida „OpenSSL“ir „Poodle“klaida, kuri panaudojo SSL 3.0 pažeidžiamumą. (Ši sritis yra judantis taikinys, todėl turite įtraukti SSL testavimą į savo ISO 27001 plano-patikrinimo-veiksmo (PDCA) ciklą.)

Kai ssl bus įdiegtas jūsų svetainėje naudojant pripažinto teikėjo sertifikatą, pamatysite, kad jūsų svetainę galima pasiekti iš https://yourdomain.com. Tai reiškia, kad duomenys perduodami pirmyn ir atgal šifruotu formatu. Priešingai, https://yourdomain.com arba silpnas šifravimas atskleidžia perduotus duomenis aiškiu tekstu, o tai reiškia, kad net vaikiškas įsilaužėlis gali pasiekti jūsų slaptažodžio duomenis ir pan., Naudodamas lengvai prieinamas priemones, pvz., „Wireshark“.

Likusioje šios pamokos dalyje manau, kad naudosite „Apache“kaip savo žiniatinklio serverį „Linux“ir kad turėsite prieigą prie savo žiniatinklio serverio per terminalo emuliatorių, pvz., Glaistą. Paprastumo dėlei darysiu prielaidą, kad jūsų IPT pateikė jūsų SSL sertifikatą ir jūs turite galimybę iš naujo sukonfigūruoti kai kuriuos jo aspektus.

1 veiksmas: patikrinkite SSL paslaugos stiprumą

Tiesiog eikite į https://www.ssllabs.com/ssltest/ ir įveskite savo domeno pavadinimą šalia pagrindinio kompiuterio vardo ir pažymėkite žymimąjį laukelį „Nerodyti rezultatų lentose“ir spustelėkite mygtuką Pateikti. (Atminkite, kad neturėtumėte išbandyti jokių domenų be išankstinio leidimo ir niekada neturėtumėte rodyti rezultatų lentose.)

Atlikus testus, jums bus priskirtas balas nuo F iki A+. Jums bus pateikti išsamūs bandymų rezultatai, kurie, tikiuosi, jums paaiškins, kodėl jums buvo suteiktas jūsų paskirtas balas.

Įprastos nesėkmės priežastys yra tai, kad naudojate pasenusius komponentus, tokius kaip šifrai ar protokolai. Netrukus sutelksiu dėmesį į šifrus, bet pirmiausia trumpas žodis apie kriptografinius protokolus.

Kriptografiniai protokolai užtikrina ryšių saugumą kompiuterių tinkle. … Ryšys yra privatus (arba saugus), nes perduodamiems duomenims šifruoti naudojama simetrinė kriptografija. Du pagrindiniai protokolai yra TLS ir SSL. Pastarąjį naudoti draudžiama, o savo ruožtu TLS vystosi ir todėl, kai rašau tai, naujausia versija yra 1.3, nors ir juodraščio formatu. Praktiškai 2018 m. Sausio mėn. Turėtumėte turėti tik TLS v 1.2. įjungtas. Tikriausiai bus pereita prie TLV v 1.3. per „Qualys“testą bus išvardyti, kokius kriptografinius protokolus pritaikėte, ir šiuo metu, jei naudojate žemiau TLS v 1.2., gausite prastą balą.

Paskutinis dalykas, kurį reikia pasakyti apie kriptografinius protokolus, kai perkate žiniatinklio paketą ir SSL sertifikatą iš bendro IPT, pvz., „GoDaddy“, tai bus TLS v 1.2. tai gerai, bet toliau, jums gali būti sunku atnaujinti, kad būtų pasakyta „TLS v 1.3“. Asmeniškai aš pats įdiegiu savo SSL sertifikatus ir todėl, taip sakant, kontroliuoju savo likimą.

2 veiksmas: iš naujo sukonfigūruokite „Apache“, kad atliktumėte SSL pakeitimus

Viena iš svarbių sričių, išbandyta atliekant „Qualys SSL“testą ir šiame skyriuje daugiausia dėmesio skiriama „Cipher“rinkiniams, kurie nustato jūsų perduodamų duomenų šifravimo stiprumą. Štai pavyzdys, gautas iš „Qualys“SSL testo viename iš mano domenų.

Šifras Suites # TLS 1.2 (Suites serverio-pageidaujamą tvarka) TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (0xc030) ECDH secp256r1 (ekv. 3072 bitai PAR) FS256TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (0xc02f) ECDH secp256r1 (ekv. 3072 bitai PAR) FS128TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (0xc028) ECDH secp256r1 (ekv. 3072 grąžtai RSA) FS256TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (0xc027) ECDH secp256r1 (ekv. 3072 bitų RSA) FS128

Galite praleisti daug laiko perkonfigūruodami „Apache“konfigūraciją, kad pašalintumėte raudonas linijas (nepavyksta) iš „Qualys“bandymo ataskaitos, tačiau rekomenduoju laikytis šio metodo, kad gautumėte geriausius „Cipher Suite“nustatymus.

1) Apsilankykite „Apache“svetainėje ir pateikite jų rekomendacijas naudoti „Cipher Suite“. Rašydamas sekiau šia nuoroda -

2) Pridėkite rekomenduojamą nustatymą prie „Apache“konfigūracijos failo ir iš naujo paleiskite „Apache“. Tai buvo jų rekomenduojamas nustatymas, kurį naudojau.

SSLCipherSuite ECDHE-ECDSA-AES256-GCM-SHA384: ECDHE-RSA-AES256-GCM-SHA384: ECDHE-ECDSA-CHACHA20-POLY1305: ECDHE-RSA-CHACHA20-POLY1305: ECDHE-RSA-CHACHA20-POLY1305: ECDHE-ECH -AES128-GCM-SHA256: ECDHE-ECDSA-AES256-SHA384: ECDHE-RSA-AES256-SHA384: ECDHE-ECDSA-AES128-SHA256: ECDHE-RSA-AES128-SHA256:

Pastabos - Vienas iš iššūkių yra surasti, kurį failą reikia pakeisti SSLCipherSuite direktyvai. Norėdami tai padaryti, prisijunkite prie „Putty“ir prisijunkite prie „etc“katalogo (sudo cd /etc) Ieškokite apache katalogo, pvz., Apache2 arba http. Tada atlikite paiešką apache kataloge taip: grep -r "SSLCipherSuite" /etc /apache2 - tai suteiks jums panašų rezultatą:

/etc/apache2/mods-available/ssl.conf:#SSLCipherSuite HIGH: MEDIUM:! aNULL:! MD5:! RC4:! DES/etc/apache2/mods-available/ssl.conf: #SSLCipherSuite HIGH:! aNULL:! ! MD5:! RC4:! DES /etc/apache2/mods-available/ssl.conf:#SSLCipherSuite ECDH+AESGCM: DH+AESGCM: ECDH+AES256: DH+AES256: ECDH+AES128: DH+AES: ECDH: DH+3DES: RSA+AESGCM: RSA+AES: RSA+3DES:! ANULL:! MD5:! DSS

Svarbu atkreipti dėmesį į failą /etc/apache2/mods-available/ssl.conf arba bet ką, kas yra jūsų. Atidarykite failą naudodami redaktorių, pvz., „Nano“, ir eikite į skyrių # SSL Cipher Suite:. Tada pakeiskite esamą įrašą direktyvoje SSLCipherSuite aukščiau esančiu įrašu iš „Apache“svetainės. Prisiminkite komentarą apie senesnes SSLCipherSuite direktyvas ir iš naujo paleiskite „Apache“- mano atveju tai padariau įvesdamas sudo /etc/init.d/apache2 restart

Atminkite, kad kartais gali tekti pašalinti konkrečius šifrus, kurie suteikia žemą „Qualys“SSL testo rezultatą (tarkime, nes buvo aptikta naujų pažeidžiamumų), net jei naudojote rekomenduojamus „Apache“nustatymus. Pavyzdys yra tai, jei ši eilutė jūsų „Qualys“ataskaitoje TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (0xc030) rodoma raudonai (nepavyksta). Pirmiausia reikia išsiaiškinti, kurį kodą reikia pakeisti „Apache SSLCipherSuite“direktyvoje. Norėdami rasti kodą, apsilankykite šiuo adresu:

Paimkite „ECDHE-RSA-AES256-GCM-SHA384“ir pašalinkite jį iš įrašo, kurį pridėjote kaip „Apache Apache SSLCipherSuite“direktyvą, tada pridėkite jį iki galo prieš jį rašydami:!

Dar kartą paleiskite „Apache“ir bandykite dar kartą

3 žingsnis: Išvada

Turiu, kad jūs ką nors sužinojote apie SSL testavimą. Yra daug daugiau apie tai sužinoti, bet tikiuosi, kad nurodžiau teisinga linkme. Kituose vadovėliuose aptarsiu kitas kibernetinio saugumo sritis, todėl sekite naujienas.