Entrust-webinaari #3 ”Server Configuration” – kannattaako katsoa?

6.6.2016

entrust_webinaarit_740x400Entrustin ”Best Practices Webinar” -sarjan kolmas osa on ”Server Configuration”

Artikkeli_X_Server_Test_A

Tämä 60-minuuttinen webinaari antaa hyviä ja konkreettisia ohjeita siihen, miten saat webbipalvelimestasi turvallisen.

Jos palvelimellasi on jäänyt päälle turvattomia protokollia, voi tilanne olla aika synkeä käyttäjiesi kannalta – ulkopuoliset voivat saada käsiinsä käyttäjien sivuillesi antamansa tiedot:

Artikkeli_X_Server_Test_Fail

Pitäjä: Mark Giannotti          Pituus: 60 minuuttia         Tekninen vaativuustaso 4 (5 = vaikein)

Itselleni tärkeää ja uutta esityksessä oli:

  • Hyvin selväpiirteiset käytännön ohjeet, mitä kannattaa tehdä palvelimen SSL/TLS -konfiguroinnissa ja missä järjestyksessä
  • OCSP Stapling -menetelmän idea
  • Se, että 4096 -pituinen RSA -avain voi hidastaa palvelimen toimintaa

Sisällöstä otteita:

  • Aika 0 – 9 minuuttia: Kertausta: Web-sivujen suurimmat tietoturvaongelmat ja Best Practice -”Kellotaulu” – mihin asioihin pitää kiinnittää huomiota:
  • Aika 9 – 37 minuuttia: Palvelimen SSL/TLS -konfigurointi  (Server Configuration)
    • Mitä on TLS (SSL) Handshake
      • Key Exchange ja Cyber Suite Negotiation määrittävät istunnon turvallisuustason
    • Millaista varmennetta ja avainta kannattaa käyttää:
      • URL nimet ja “Name Mismatch Error”
      • Erilaiset avaimet RSA ja ECDSA ja niiden koko
      • SHA1/SHA2 allekirjoitusalgoritmi
    • Sertifikaattipolku (Certification validation path)
      • Intermediate-varmenteiden oikea asentaminen on erittäin tärkeää palvelimen tietoturvatasolle – näiden virheellinen asennus on edelleen ykkösaihe CA-toimitajille tuleville tukipyynnöille
    • Protokollat
      • TLS 1.2 ja sen vanhemmat vaihtoehdot ja niiden turvallisuus/turvattomuus
    • Cipher Suites
      • Mitä nämä ovat ja mitä niiden nimet kertovat
      • Mitä kannattaa tehdä, jotta saa parhaan mahdollisen turvatason (esim. aseta niiden valintajärjestys kohdalleen, huomioi Forward Secrecy, jne)
      • Mitä kannattaa välttää (esim. RC4, “Export Grade”, jne)
      • Linkkejä, joista löytää esim. Cipher Suites -järjestyksiä
      • Miten testata verkkosivujen konfigurointi
  • Aika 37 – 49 minuuttia: Edistyneempi Palvelimen SSL/TLS -konfigurointi  (Enhanced Server Configuration)
    • OCSP Stapling – kannattaa olla päällä
      • Normaalisti selain hakee sulkulistatiedot eri palvelimelta (CRL tai OCSP)
      • OCSP Stapling: webbipalvelin tarjoaa samalla myös tiedot sulkulistasta
    • Elliptic Curve Cryptography (ECC/ECDSA)
      • tulee olemaan yhä enemmän käytössä
    • HTTPS Strict Transport Security (HSTS) kannattaa olla päällä
      • Hyödyt ja rajoitukset
    • HTTP/2 – seuraava verkkoprotokolla
      • Pienentää kuormaa
      • Google, Mozilla ja Apple ovat ilmoittaneet, että hyväksyvät HTTP/2 -protokollan vain TLS:n kautta
  • Aika 49 – 55 minuuttia: Entrust / Qualys Server Test
    • Mistä voi ajaa, mitä tuloksia antaa
    • Entrustin SSL-Portaalin ja Server Testin integraatio
  • Aika 55 – 58 minuuttia: Bulletproof SSL and TLS -ekirja antaa tarvittaessa syvällisen tiedon
    • Ivan Risticin erinomainen kirja päivittyy jatkuvasti ja on integroitu Entrustin SSL-Portaaliin
  • Aika 58 – 63 minuuttia:
    • Kysymyksiä/vastauksia
      • Millaista avaimen kokoa kannattaa käyttää à 2048 / RSA – 4096 / RSA on mahdollinen, mutta voi hidastaa joissain tapauksissa

Lisää tietoa: info(at)ssl-apua.fi

 

Lue lisää