Vítejte na demonstrativní stránce nejlepšíssl.eu


Web je věnován nastavení SSL/TLS protokolu za použití Apache serveru a služby ZonerCloud.
Zabývá se počáteční konfigurací nově zřízeného serveru - pro ostré nasazení není možné použít výchozí konfiguraci serveru.


Detaily šifrovaného spojení


"; echo "Jste připojení protokolem ".$_SERVER["SSL_PROTOCOL"]." za použití šifry ".$_SERVER["SSL_CIPHER"]." s klíčem dlouhým ".$_SERVER["SSL_CIPHER_USEKEYSIZE"]." bitů.
"; echo "Algoritmus veřejného klíče: ".$_SERVER["SSL_SERVER_A_KEY"]." a podpisu: ".$_SERVER["SSL_SERVER_A_SIG"]."

"; ?>

Odkazy

ZonerCloud
SSLmarket
Magazín SSLmarket
Zoner Software
SSLlabs test serveru

Zoner software a.s. je poskytovatel kompletních internetových služeb Czechia.com již od 1996.


Úprava nastavení SSL/TLS

Defaultní nastavení linuxového serveru

Výchozí (defaultní) nastavení linuxového serveru (Debian, Ubuntu, atd.) není pro produkční nasazení příliš vhodné. Server ve výchozím nastavení stále akceptuje připojení přes SSLv3 protokol, který se už nepoužívá.

Po instalaci certifikátu je potřeba udělat tyto kroky:

  • Zakázat protokol SSLv3, TLS 1.0 a TLS 1.1
  • Zakázat RC4 v používaných šifrách
  • Povolit Forward Secrecy

Vypnutí protokolu SSLv3, TLS 1.0 a TLS 1.1

Zastaralé protokoly můžete vypnout buď u všech vhostů, nebo na celém serveru.

Upravte v /etc/apache2/mods-available/ssl.conf:
SSLProtocol all -SSLv2 -SSLv3 -TLSv1 -TLSv1.1

Vypnutí RC4

Šifra RC4 je považovaná za problematickou, protože je vektorem zranitelnosti BEAST.

Zakázání šifry je jednoduché. Stačí dát před nežádoucí šifru vykřičník a server už ji nebude používat.

Upravte v /etc/apache2/mods-available/ssl.conf:
SSLCipherSuite ... !RC4

Forward Secrecy

Forward Secrecy slouží k ochraně přenesených informací před pozdějším dešifrováním (například po ukradení privátního klíče). Předpokladem pro funkční Forward Secrecy jsou dva Diffie-Hellman algoritmy pro výměnu klíčů DHE a ECDHE.

Více o nasazení Forward Secrecy najdete v článku SSL Labs: Deploying Forward Secrecy. Pokud se vám nechce problematika studovat, stačí nastavit níže uvedené pořadí šifer do konfigurace.

Upravte v /etc/apache2/mods-available/ssl.conf:
SSLHonorCipherOrder on

SSLCipherSuite "ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:ECDHE-RSA-DES-CBC3-SHA:ECDHE-ECDSA-DES-CBC3-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA"

Nové nastavení otestujte

Tato konfigurace zajistí vysokou míru bezpečnosti při zachování maximální možné kompatibility se staršími prohlížeči. Při dosažení absolutního hodnocení (4x 100) by se na váš server většina z nich nepřipojila.

Po provedení změn bude nastavení SSL/TLS na dostatečné úrovni a server bude vhodně zabezpečen. Doporučuji provést test serveru na SSLlabs.

Napište název domény a otestujte správnost nastavení SSL/TLS:

 

Bude-li hodnocení A, můžete být spokojeni - zabezpečení je bez výhrad. V opačném případě zákazníkům podpora SSLmarketu ráda poradí.