Beállítás ssl tanúsítvány online hogyan lehet elkerülni a hibákat
És úgy tűnt, hogy minden rendben ment, hogy hozzanak létre egy SSL tanúsítvány, az egyik ügyfelünk, Alex, majd lépésről lépésre. De később kezdtek megjelenni a negatív következményeket, mint például a hosszú letöltési idő, részleges hiánya a honlapon. Mindez nagyon ideges Alekszej, mint egy telepített SSL tanúsítvány, csak várt javulás a Web projekt. A támogatás úgy döntött, hogy foglalkozik a konfigurációs hibák és segít Alex valójában adatok védelmére látogatók a helyszínen.
Ha az SSL-rossz, a jó csak nem is a legjobb bizonyítványt
Alex úgy döntött, egy SSL tanúsítványt egy szállító, aki megígérte a legmagasabb szintű védelmet mindössze néhány kattintással. Tanulmányozása után az információt, Alex rájött, hogy egy egyszerű teszt tanúsítványt domén csak nem lesz elég. Ő választotta a középosztály határozatot, és egy SSL tanúsítvány hitelesítési cég. Korábban már szót ejtettünk a különböző szintű érvényesítése.
Miután teszteltük és kapott igazolást a fájlokat, Alex vette telepítést. Követte a lépésről-lépésre telepítési útmutató. De valami elromlott ... Az oldal tetején lassan töltődik ideiglenesen nem volt elérhető, és mint kiderült, a tesztet a Qualys SSL Labs, nem volt igazán biztonságos. Mi történt?
Konfigurációs hibák miatt az elavult kézi
Alex velünk a kapcsolatot, és elküldte az eredményeket az SSL-szerver teszt, mintha ezek nem teljesen egyértelmű. Azt is kérte, Alekszej küldjön útmutatást, amit telepített SSL tanúsítványt. Azt találtuk, hogy az utasítások nem veszi figyelembe a jelenlegi helyzet a biztonsági helyzet, amellyel összefüggésben számos felhasználó veszélyben, sőt a telepített tanúsítvánnyal.
SSL konfiguráció kulcs csere
Ezután azt vizsgáltuk, hogy a kulcs csere. SSL-teszt Qualys számára ez lehetővé teszi, hogy szimulálja a folyamat egy kézfogás. Kiderült, hogy az SNI támogatást tartalmazza, hanem egyenesen a titoktartási Alex visszautasította. Közvetlen titoktartás (rövidítve - a PFS, honnan «tökéletes továbbítási biztonság") - a függvény egy esemény kulcsot, így visszatekintve, lehetetlen volt az üzeneteket dekódolja. Az ülés után, műveletkulcsának eltávolítjuk, és a kapcsolat továbbra is titok. További információ talál cikkünkben „Beállítás közvetlen titok.”
Aztán elmagyarázta Alex, hogy a kifejezés a tanúsítvány megbízható hitelesítésszolgáltató, és tördelő használt algoritmusok szintén befolyásolhatják az értékelést. Alex úgy döntött, egy nagyon jó SSL tanúsítvány, így elérni egy jó értékelést csak néhány lépést. Tény, hogy az EV igazolások Extended Validation becsült említettük, ez Alex tudta korábban, de hagyta, hogy megmentse. Mégis gondoskodott arról, hogy a szóban forgó bizonyítvány használt hosszú privát kulcs tartja a biztonságos számítógépen. Alex biztonsági tanúsítvány felhasználói neveket és jelszavakat, ahogy eltervezte. De, hogy hozzanak létre SSL-hiba lehet, hogy még a legjobb bizonyítvány használhatatlan.
A cookie-k meg kell védeni
Alex úgy döntött, hogy a cookie-k fájlokat. Hozzátette egy figyelmeztetést, hogy a látogatók a helyszínen, és meg kell használni ezt a technológiát a mi Adatvédelem.
Azonban ő nem vette észre egy részlet: a cookie-k fájlokat is védeni kell, különben növeli annak lehetőségét, MITM-támadás. Speciális jelzők használatával lehet beállítani, hogy a cookie-k továbbított egy biztonságos HTTPS-kapcsolaton vagy nem biztonságos HTTP-kapcsolatot.
Ha nem állítja be a biztonsági zászlókat, akkor a következő történik: a felhasználó éri el a webhelyét HTTPS cookie megkezdi működését, azaz figyeli a felhasználó tevékenységét. Később, a látogató visszatér, de ezúttal arra utal, hogy a HTTP oldalon. Cookie még küldeni a webes alkalmazás. Ebben a helyzetben a támadó nyomon tudja követni a cookie-t, hogy adja ki magát a felhasználó, és szabadon járjon el a nevében.
Segítségével HSTS hibák
Amint látjuk, képes kezelni a titkosított oldalakat HTTP-n keresztül, azaz több mint egy biztonságos csatornán, nyit egy nagy biztonsági lyuk. Ezt a problémát meg lehet oldani HSTS mechanizmus. HSTS (rövid «HTTP Strict Transport Security») - egy olyan technológia, amely lehetővé teszi, hogy erőt biztonságos HTTPS-kapcsolaton keresztül. Minden modern böngésző a HSTS standard. Az aktivált HSTS megállapítja, hogy a (HTTP-) szervernek kell használni a biztonságos kapcsolatot. Szintén TGV-szabvány megköveteli, alkalmazói programok kölcsönhatásba léphet az oldalon csak titkosított csatornán keresztül. Röviden: HSTS használatát megakadályozza a HTTP és HTTPS-aktiválja a kapcsolatot.
OCSP növelése adatvédelmi
A módszer «OCSP-Stepling” lehet megoldani a problémákat okozta OCSP. Rendszeres időközönként, például óránként, a web szerver megkapja az OCSP-válasz jogállásáról szóló saját tanúsítvány. Ezt a választ küldeni közvetlenül a felhasználó böngészőjének a kezdeti kézfogás. A kapcsolat a felhasználó böngészője és az OCSP-válaszadó erre a célra van szükség. folyamat biztonságot garantálja az is, hogy a válasz OCSP válasz mindig aláírt OCSP válaszadó hitelesítésszolgáltató és az aláírás ellenőrzést böngészőt.
HPKP - nyilvános kulcs rögzítése
Bízhatok tanúsítványlánc a gyökér és a köztes tanúsítványokat? Ahhoz, hogy a válasz erre a kérdésre, használják nevezett eljárást HPKP, rövid HTTP Public Key rögzítéssel. nyilvános kulcs rögzítése lehetővé teszi, hogy meghatározza, mikor nyilvános kulcs tanúsítvány megváltozott egy adott géphez. Ez megtörténhet veszélybe tanúsítványokat. Így HPKP válik egy olyan mechanizmus, amely ellenőrzi a hitelességét SSL / TLS tanúsítványokat.
Helyes SSL tanúsítvány beállítási utasításokat bízhatsz
Természetesen a telepítési útmutató lehet bízni és kell is, de kell, hogy legyen megfelelő. Ajánlásokat követve megbízható forrásokból segít elkerülni a hibákat:
Általános ajánlások
Az alábbi ajánlások általános jellegűek, és ezért támpontul szolgálhatnak:
- Használja a HTTPS-biztonságos kapcsolat minden webes szolgáltatások;
- Automatikus átirányítás elkerülése érdekében titkosítatlan kéréseket a szerver, beállíthatja az automatikus átirányítás HTTPS-verzió;
- TLS könyvtár: csak támaszkodnak a legújabb verzióra. Ha ön használ TLS, akkor nem zár ki senkit, de ha egy nem biztonságos SSL, akkor is bekapcsol, és a potenciális hackerek;
- Állítsa HSTS, garantáltan kizárni titkosítatlan kapcsolatokat. Ezt meg lehet tenni két módja van: először is, felveheti HSTS fejlécet, hogy a böngésző csak a hozzá HTTPS-változata az oldalon. Másodszor, akkor tegye a webhely a listán HSTS előfeszítő. Nem értesíti a modern böngészők HTTP-kezelést meg kell automatikusan átirányítja a HTTPS;
- kötelezze az SSL / TLS tanúsítványokat csak a megbízható oldalak;
- a legjobb, hogy rendeljen egy SSL tanúsítványok Extended Validation (Extended Validation). Ezek növelik a bizalmat a látogatók a hitelességét a webhelyen;
- arról, hogy a szolgáltató az SSL-tanúsítványok gyorsan cserélni őket, ha a kompromisszum. Az e szempont, meg voltunk győződve arról, miután masszívan változtatni az igazolások miatt heartbleed;
- mechanizmusok segítségével, mint a PFS, hogy megakadályozzák a dekódolás visszatekintve, ha sikerült elkapni.
Ügyfélszolgálatunk kész válaszolni minden kérdésre, és segít megvédeni a weboldal!
Vásárlás SSL tanúsítvány
Védje adatait továbbítani SSL-tanúsítvány