Entrustin ”Best Practices Webinar” -sarjan kolmas osa on ”Server Configuration”
Tämä 60-minuuttinen webinaari antaa hyviä ja konkreettisia ohjeita siihen, miten saat webbipalvelimestasi turvallisen.
Jos palvelimellasi on jäänyt päälle turvattomia protokollia, voi tilanne olla aika synkeä käyttäjiesi kannalta – ulkopuoliset voivat saada käsiinsä käyttäjien sivuillesi antamansa tiedot:
Pitäjä: Mark Giannotti Pituus: 60 minuuttia Tekninen vaativuustaso 4 (5 = vaikein)
Itselleni tärkeää ja uutta esityksessä oli:
- Hyvin selväpiirteiset käytännön ohjeet, mitä kannattaa tehdä palvelimen SSL/TLS -konfiguroinnissa ja missä järjestyksessä
- OCSP Stapling -menetelmän idea
- Se, että 4096 -pituinen RSA -avain voi hidastaa palvelimen toimintaa
Sisällöstä otteita:
- Aika 0 – 9 minuuttia: Kertausta: Web-sivujen suurimmat tietoturvaongelmat ja Best Practice -”Kellotaulu” – mihin asioihin pitää kiinnittää huomiota:
- Katso selitykset Best Practise #1 -refereraatista tästä
- Aika 9 – 37 minuuttia: Palvelimen SSL/TLS -konfigurointi (Server Configuration)
- Mitä on TLS (SSL) Handshake
- Key Exchange ja Cyber Suite Negotiation määrittävät istunnon turvallisuustason
- Millaista varmennetta ja avainta kannattaa käyttää:
- URL nimet ja “Name Mismatch Error”
- Erilaiset avaimet RSA ja ECDSA ja niiden koko
- SHA1/SHA2 allekirjoitusalgoritmi
- Sertifikaattipolku (Certification validation path)
- Intermediate-varmenteiden oikea asentaminen on erittäin tärkeää palvelimen tietoturvatasolle – näiden virheellinen asennus on edelleen ykkösaihe CA-toimitajille tuleville tukipyynnöille
- Protokollat
- TLS 1.2 ja sen vanhemmat vaihtoehdot ja niiden turvallisuus/turvattomuus
- Cipher Suites
- Mitä nämä ovat ja mitä niiden nimet kertovat
- Mitä kannattaa tehdä, jotta saa parhaan mahdollisen turvatason (esim. aseta niiden valintajärjestys kohdalleen, huomioi Forward Secrecy, jne)
- Mitä kannattaa välttää (esim. RC4, “Export Grade”, jne)
- Linkkejä, joista löytää esim. Cipher Suites -järjestyksiä
- Miten testata verkkosivujen konfigurointi
- Mitä on TLS (SSL) Handshake
- Aika 37 – 49 minuuttia: Edistyneempi Palvelimen SSL/TLS -konfigurointi (Enhanced Server Configuration)
- OCSP Stapling – kannattaa olla päällä
- Normaalisti selain hakee sulkulistatiedot eri palvelimelta (CRL tai OCSP)
- OCSP Stapling: webbipalvelin tarjoaa samalla myös tiedot sulkulistasta
- Elliptic Curve Cryptography (ECC/ECDSA)
- tulee olemaan yhä enemmän käytössä
- HTTPS Strict Transport Security (HSTS) kannattaa olla päällä
- Hyödyt ja rajoitukset
- HTTP/2 – seuraava verkkoprotokolla
- Pienentää kuormaa
- Google, Mozilla ja Apple ovat ilmoittaneet, että hyväksyvät HTTP/2 -protokollan vain TLS:n kautta
- OCSP Stapling – kannattaa olla päällä
- Aika 49 – 55 minuuttia: Entrust / Qualys Server Test
- Mistä voi ajaa, mitä tuloksia antaa
- Entrustin SSL-Portaalin ja Server Testin integraatio
- Aika 55 – 58 minuuttia: Bulletproof SSL and TLS -ekirja antaa tarvittaessa syvällisen tiedon
- Ivan Risticin erinomainen kirja päivittyy jatkuvasti ja on integroitu Entrustin SSL-Portaaliin
- Aika 58 – 63 minuuttia:
- Kysymyksiä/vastauksia
- Millaista avaimen kokoa kannattaa käyttää à 2048 / RSA – 4096 / RSA on mahdollinen, mutta voi hidastaa joissain tapauksissa
- Kysymyksiä/vastauksia
Lisää tietoa: info(at)ssl-apua.fi