Entrust on julkaissut ”Best Practices Webinar” -sarjan. Sen toinen osa on webinaari ”Always-On SSL”.
Tämä 63-minuuttisen webinaari kertoo miten saat nykytilanteessa helpoiten suojan sivuillesi Always-On SSL -menetelmällä ja käsittelee myös mahdollisia hyökkäyksiä, jos näin ei tehdä.
Itselleni oleellisinta esityksessä oli (esittäjän hyvän tyylin lisäksi):
- Google, Apple ja Mozilla ovat ilmoittaneet implementoivansa uuden HTTP/2 -verkkoprotokollan omiin selaimiinsa siten, että HTTP/2 toimii vain salatun TLS-yhteyden yli. Todennäköisesti myös Microsoft tekee saman päätöksen. Jos haluaa hyötyä HTTP/2 -protokollasta ja sen eduista, tarvitaan tällöin kaikille sivuille SSL-varmenteet.
- Selkeä tapa parantaa web-sivujen tietoturvaa merkittävästi: Konfiguroi HSTS päälle
Alla on kirjaamiani yksityiskohtia webinaarista. Toivottavasti tämän materiaalin perusteella voit päättää, onko webinaarista hyötyä sinulle.
Pitäjä: Mark Giannotti, Pituus: 63 minuuttia, Tekninen vaativuustaso 3 (1-5 – 5 on vaikein)
(Huom: Tässä esityksessä puhutaan useissa paikoissa SSL-protokollasta vaikka oikeasti pitäisi jo puhua TLS-protokollasta. Toivottavasti tämä ei häiritse …)
Sisällöstä otteita:
- Aika 0 – 12 minuuttia: Kertausta: Web-sivujen suurimmat tietoturvaongelmat:
- Katso selitykset Best Practise #1 -refereraatista
- Aika 12 -25 minuuttia:
- Tilanne nyt:
- Usein sivuilla ei ole SSL/TLS tai se on asennettu sivuille vain osittain
- Mihin SSL:ää tarvitaan?
- Liikenteen salaus, datan luotettavuus (kukaan ei muuta sivulta tulevaa dataa), autentikointi (kävijä voi olla varma palvelun tuottajasta)
- Miksi Always-On SSL
- Estetään hyökkäykset, kuten Firesheep ja SSL Strip – käydään läpi nämä hyvin yksinkertaisesti ja helposti tehtävät hyökkäykset
- Google antaa paremmat Search-Engine arviot SSL-sivuille
- Seuraava verkkoprotokolla HTTP/2 on tulossa käyttöön ja Google, Apple ja Mozilla ovat todenneet, että heidän selaimensa tukevat HTTP/2 -verkkoprotokollaa vain TLS-protokollan yli. Näyttää siltä, että Microsoft on tehnyt saman päätöksen. Jos siis haluat hyödyntää HTTP/2 -protokollaa, sinulla pitää olla SSL/TLS -varmenne sivuilla.
- Selaintoimittajat tulevat tämän jälkeen vähitellen “pakottamaan” sivut HTTP/2 verkkoprotokollaan (HTTP Deprecation)
- Tilanne nyt:
- Aika 25 – 41 minuuttia: Miten Always-on SSL otetaan käyttöön
- Pakota koko liikenne https-muotoon:
- aseta liikenne portista 80 menemään porttiin 443
- tai (mikä on helpointa) konfiguroi käyttöön HTTPS Strict Transport Security (HSTS)
- Vältä huonoja määrityksiä ja konfiguraatioita:
- Epäyhdenmukaisuuksia DNS-määrittelyissä
- Huonosti konfiguroituja SSL-palvelimia – tässä esitetään myös miten tämä voidaan havaita ja korjata Entrust SSL Server Test -työkalun avulla
- Käytetään suojaamatonta cookie -liikennettä – esimerkiksi Firesheep -hyökkäys hyödyntää tätä – tässä avataan hyökkäysmenetelmää ja suojautumista
- Mixed Page -sisältöä sivuilla (esim. asettamalla HSTS päälle)
- Sitten katsotaan, mitä toimenpiteitä pitää käytännössä tehdä huonojen määritysten välttämiseksi
- Pakota koko liikenne https-muotoon:
- Aika 41 – 48 minuuttia: Hyödynnä parhaita ja uusimpia käytäntöjä
- Extended Validation (EV) -varmenteita – ja miksi
- HTTPS Strict Transport Security (HSTS)
- OCSP Stapling, Perfect Forward Secrecy, SHA-2 Hashing algoritmi, TLS 1.2
- Mitä pitää käytännössä tehdä parhaiden käytäntöjen hyödyntämiseksi
- Aika 48 – 63 minuuttia: Yhteenveto
- Miksi Always-On SSL tarvitaan
- Hyviä linkkejä
- Kysymyksiä/vastauksia
Lisää tiedoa: info@ssl-apua.fi