SSL /TLS Best Practices für 2023

Alle Anleitungen anzeigen

Im Jahr 2023 sichern Sie Ihre Website mit einem SSL /TLS Zertifikat ist nicht mehr optional, auch für Unternehmen, die nicht direkt mit sensiblen Kundeninformationen im Web umgehen. Suchmaschinen wie Google verwenden die Website-Sicherheit als SEO-Ranking-Signal, und beliebte Webbrowser wie Chrome machen Benutzer auf Websites aufmerksam, die kein HTTPS verwenden:

Browser arbeitet für unsichere Website

Die Aussicht, Ihre Webserver und Anwendungen für die Verwendung von SSL / einzurichtenTLS Das korrekte Protokoll kann sich entmutigend anfühlen, da viele arkane Konfigurations- und Designentscheidungen getroffen werden müssen. Dieses Handbuch bietet einen schnellen Überblick über die wichtigsten Punkte, die beim Einrichten von SSL / zu beachten sind.TLS für Ihre Website, wobei Sie sich sowohl auf Sicherheit als auch auf Leistung konzentrieren. Es gibt noch viel zu besprechen, also haben wir es in eine Reihe von Schritten unterteilt.

SSL.com bietet eine große Auswahl von SSL/TLS Serverzertifikate. Sichern Sie Ihre Website noch heute mit einem SSL-Zertifikat von SSL.com und Bauen Sie Vertrauen bei Ihren Besuchern auf!

VERGLEICHEN SSL /TLS ZERTIFIKATE

Wählen Sie eine zuverlässige Zertifizierungsstelle (CA).

Ihre Zertifikate sind nur so vertrauenswürdig wie die Zertifizierungsstelle, die sie ausstellt. Alle öffentlich vertrauenswürdigen Zertifizierungsstellen werden strengen Prüfungen durch Dritte unterzogen, um ihre Position in den wichtigsten Stammzertifizierungsprogrammen für Betriebssysteme und Browser zu behaupten. Einige können diesen Status jedoch besser beibehalten als andere. Suchen Sie nach einer Zertifizierungsstelle, die (wie SSL.com):

  • Erledigt den größten Teil seines Geschäfts im Bereich des öffentlichen Vertrauens PKI. Diese Unternehmen haben am meisten zu verlieren, wenn schlechte Sicherheitspraktiken zutage treten, und alles, was sie gewinnen können, wenn sie mit den sich entwickelnden Industriestandards Schritt halten.
  • Reagiert effizient und effektiv auf Schwachstellenentdeckungen, die sich auf die Sicherheit und den Datenschutz der Benutzer auswirken, wie die branchenweit Seriennummernentropie Ausgabe von Anfang 2019. Suche in Branchenforen wie mozilla.dev.security.policy kann Ihnen eine gute Vorstellung davon geben, wie eine bestimmte Zertifizierungsstelle auf Widrigkeiten reagiert.
  • Bietet nützliche Produkte und DienstleistungenB. EV-Zertifikate (Extended Validation), Massen- / automatisierte Zertifikatsausstellung über eine intuitive Benutzeroberfläche API oder im ACME-Protokoll, einfache Dienste zur Verwaltung und Überwachung des Lebenszyklus von Zertifikaten und Support zur Integration mit einer umfangreichen Liste von Lösungen von Drittanbietern.
  • Hat einen Ruf für hervorragenden Kundenservice und technischen Support. Es ist wichtig, die Website Ihres Unternehmens zu 100% sicher zu halten, und Sie müssen in der Lage sein, einen echten Experten am Telefon zu finden, wenn etwas schief geht.

Zertifizierungsstelle (CAA)

Zertifizierungsstelle (CAA) ist ein Standard zum Schutz von Websites, indem bestimmte Zertifizierungsstellen festgelegt werden, die Zertifikate für einen Domainnamen ausstellen dürfen. Sobald Sie eine Zertifizierungsstelle ausgewählt haben, sollten Sie dies berücksichtigen Konfigurieren von CAA-Datensätzen um es zu autorisieren.

Generieren und sichern Sie Ihre privaten Schlüssel

Das SSL /TLS Protokoll verwendet ein Schlüsselpaar um Identitäten zu authentifizieren und über das Internet gesendete Informationen zu verschlüsseln. Eine davon (die Öffentlicher Schlüssel) ist für die weite Verbreitung bestimmt, und die andere (die privater Schlüssel) sollte so sicher wie möglich aufbewahrt werden. Diese Schlüssel werden zusammen erstellt, wenn Sie eine generieren Zertifikatsignierungsanforderung (CSR). Hier sind einige Hinweise, die Sie in Bezug auf Ihre privaten Schlüssel beachten sollten:

  • Verwenden Sie starke private Schlüssel: Größere Schlüssel sind schwerer zu knacken, erfordern jedoch mehr Rechenaufwand. Derzeit wird mindestens ein 2048-Bit-RSA-Schlüssel oder ein 256-Bit-ECDSA-Schlüssel empfohlen. Die meisten Websites können mit diesen Werten eine gute Sicherheit erzielen und gleichzeitig die Leistung und Benutzererfahrung optimieren.
    Hinweis: Eine Übersicht über diese beiden Algorithmen finden Sie im Artikel von SSL.com. Vergleich von ECDSA und RSA.
  • Schützen Sie Ihre privaten Schlüssel:
    • Generieren Sie Ihre eigenen privaten Schlüssel in einer sicheren und vertrauenswürdigen Umgebung (vorzugsweise auf dem Server, auf dem sie bereitgestellt werden, oder auf einem FIPS- oder Common Criteria-kompatiblen Gerät). Nie Erlauben Sie einer Zertifizierungsstelle (oder einer anderen Person), private Schlüssel in Ihrem Namen zu generieren. Eine seriöse öffentliche Zertifizierungsstelle wie SSL.com bietet niemals an, Ihre privaten Schlüssel zu generieren oder zu verarbeiten, es sei denn, sie werden in einem sicheren Hardware-Token oder HSM generiert und sind nicht exportierbar.
    • Geben Sie nur bei Bedarf Zugriff auf private Schlüssel. Generieren Sie neue Schlüssel und widerrufen Alle Zertifikate für die alten Schlüssel, wenn Mitarbeiter mit Zugriff auf private Schlüssel das Unternehmen verlassen.
    • Erneuern Sie Zertifikate so oft wie möglich (mindestens jährlich wäre gut), wobei Sie vorzugsweise jedes Mal einen frisch generierten privaten Schlüssel verwenden. Automatisierungstools wie das ACME-Protokoll sind hilfreich für die Planung häufiger Zertifikatserneuerungen.
    • Wenn ein privater Schlüssel kompromittiert wurde (oder möglicherweise kompromittiert wurde), widerrufen Alle Zertifikate für diesen Schlüssel generieren ein neues Schlüsselpaar und stellen ein neues Zertifikat für das neue Schlüsselpaar aus.

Konfigurieren Sie Ihren Server

An der Oberfläche, Installation eines SSL /TLS Bescheinigung mag wie eine unkomplizierte Operation erscheinen; Es müssen jedoch noch viele Konfigurationsentscheidungen getroffen werden, um sicherzustellen, dass Ihr Webserver schnell und sicher ist und dass Endbenutzer eine reibungslose Erfahrung haben, die frei von Browserfehlern und Warnungen ist. Im Folgenden finden Sie einige Konfigurationshinweise, die Sie beim Einrichten von SSL / auf den richtigen Weg bringen.TLS auf Ihren Servern:

  • Stellen Sie sicher, dass alle Hostnamen abgedeckt sind: Deckt Ihr Zertifikat den Domainnamen Ihrer Site mit und ohne ab? www Präfix? Gibt es eine Alternativer Name des Betreffs (SAN) Für jeden Domainnamen soll das Zertifikat schützen?
  • Installieren Sie die vollständigen Zertifikatketten: Endentität SSL /TLS Zertifikate werden im Allgemeinen von Zwischenzertifikaten und nicht vom Stammschlüssel einer Zertifizierungsstelle signiert. Stellen Sie sicher, dass alle Zwischenzertifikate auf Ihrem Webserver installiert sind, um den Browsern ein vollständiges Zertifikat zu bieten Zertifizierungspfad und vermeiden Sie Vertrauenswarnungen und Fehler für Endbenutzer. Ihre Zertifizierungsstelle kann Ihnen alle erforderlichen Zwischenprodukte zur Verfügung stellen. Kunden von SSL.com können unsere nutzen Download des Zwischenzertifikats Seite zum Abrufen von Zwischenpaketen für viele Serverplattformen.
  • Aktuelles SSL verwenden /TLS Protokolle (TLS 1.2 oder 1.3): Ende 2018 kündigten alle großen Browser-Anbieter Pläne zur Ablehnung an TLS 1.0 und 1.1 bis zum ersten Halbjahr 2020. Google veraltet TLS v1.0 und v1.1 in Chrome 72 (veröffentlicht am 30. Januar 2919). Chrome-Versionen 84 (veröffentlicht am 14. Juli 2020) und höher stellen eine Interstitial-Warnung für diese Protokolle dar, und die Unterstützung war geplant vollständig entfernt im Mai 2021. Weit verbreitete Browser-Unterstützung früherer SSL /TLS Versionen wie SSL v3 sind längst vorbei. Während TLS 1.2 ist derzeit die am weitesten verbreitete Version von SSL /TLS Protokoll, TLS 1.3 (die neueste Version) ist bereits unterstützt in den aktuellen Versionen der meisten gängigen Webbrowser.
  • Verwenden Sie eine kurze Liste sicherer Cipher Suites: Wählen Sie nur Cipher Suites, die mindestens 128-Bit-Verschlüsselung bieten oder wenn möglich stärker. Das Nationale Institut für Standards und Technologie (NIST) empfiehlt dies ebenfalls TLS Implementierungen werden von Verschlüsselungssuiten, die die DES-Verschlüsselung (oder ihre Varianten) enthalten, zu solchen mit AES verschoben. Schließlich minimiert die Verwendung nur einer kleinen Teilmenge potenziell akzeptabler Cipher Suites die Angriffsfläche für noch unentdeckte Sicherheitslücken. Der Anhang von SSL.com Zielführung nach... TLS Einhaltung von Standards bietet Beispielkonfigurationen für die gängigsten Webserverplattformen mit TLS 1.2
    Hinweis: Die Verwendung unsicherer, veralteter Chiffren (z. B. RC4) kann zu Browsersicherheitsfehlern führen, z ERR_SSL_VERSION_OR_CIPHER_MISMATCH im Google-Chrome.
  • Forward Secrecy (FS) verwenden: Auch bekannt als perfekte Vorwärtsgeheimnis (PFS)FS stellt sicher, dass ein kompromittierter privater Schlüssel auch frühere Sitzungsschlüssel nicht gefährdet. So aktivieren Sie FS:
    • Einrichtung TLS 1.2 zur Verwendung des EDCHE-Schlüsselaustauschalgorithmus (Elliptic Curve Diffie-Hellman) (mit DHE als Fallback) und vermeiden Sie den Austausch von RSA-Schlüsseln nach Möglichkeit vollständig.
    • Verwenden Sie die TLS 1.3. TLS 1.3 bietet Vorwärtsgeheimnis für alle TLS Sitzungen über die Ephemeral Diffie-Hellman (EDH oder DHE) Schlüsselaustauschprotokoll.
  • Ermöglichen TLS Wiederaufnahme der Sitzung: Ähnlich wie bei der Verwendung von Keepalives zur Aufrechterhaltung dauerhafter TCP-Verbindungen TLS Durch die Wiederaufnahme der Sitzung kann Ihr Webserver das kürzlich ausgehandelte SSL / verfolgenTLS Sitzungen und setzen Sie sie fort, wobei der Rechenaufwand für die Aushandlung von Sitzungsschlüsseln umgangen wird.
  • Betrachten Sie OCSP-Heften: OCSP-Heften Ermöglicht Webservern, zwischengespeicherte Sperrinformationen direkt an den Client zu übermitteln. Dies bedeutet, dass ein Browser keinen OCSP-Server kontaktieren muss, um zu überprüfen, ob das Zertifikat einer Website widerrufen wurde. Durch das Eliminieren dieser Anforderung bietet das OCSP-Heften einen echten Leistungsschub. Für weitere Informationen lesen Sie bitte unseren Artikel, Optimierung des Seitenladens: OCSP-Heften.

Verwenden Sie Best Practices für das Design von Webanwendungen

Das Design Ihrer Webanwendungen unter Berücksichtigung der Sicherheit ist ebenso wichtig wie die korrekte Konfiguration Ihres Servers. Dies sind die wichtigsten Punkte, um sicherzustellen, dass Ihre Benutzer nicht ausgesetzt sind Mann in der Mitte Angriffe, und dass Ihre Anwendung die SEO-Vorteile erhält, die mit guten Sicherheitspraktiken verbunden sind:

  • Gemischte Inhalte beseitigen: JavaScript-Dateien, Bilder und CSS-Dateien sollten alle Zugriff mit SSL /TLS. Wie im Artikel von SSL.com beschrieben, HTTPS Everywhere, Portion gemischter Inhalt Dies ist kein akzeptabler Weg mehr, um die Leistung der Website zu steigern, und kann zu Sicherheitswarnungen des Browsers und SEO-Problemen führen.
  • Verwenden Sie sichere Cookies: Einstellen der Secure Das Flag in Cookies erzwingt die Übertragung über sichere Kanäle (z. B. HTTPS). Sie können auch verhindern, dass clientseitiges JavaScript über das auf Cookies zugreift HttpOnly kennzeichnen und beschränken Sie die standortübergreifende Verwendung von Cookies mit dem SameSite Flagge.
  • Code von Drittanbietern bewerten: Stellen Sie sicher, dass Sie die potenziellen Risiken der Verwendung von Bibliotheken von Drittanbietern auf Ihrer Website kennen, z. B. die Möglichkeit, versehentlich Schwachstellen oder bösartigen Code einzuführen. Überprüfen Sie die Vertrauenswürdigkeit von Drittanbietern immer nach besten Kräften und verknüpfen Sie sie mit HTTPS mit dem gesamten Code von Drittanbietern. Stellen Sie schließlich sicher, dass Ihr Nutzen von Elementen Dritter auf Ihrer Website das Risiko wert ist.

Überprüfen Sie Ihre Arbeit mit Diagnosetools

Nach dem Einrichten von SSL /TLS Auf Ihrem Server und Ihrer Website oder bei Konfigurationsänderungen ist es wichtig sicherzustellen, dass alles korrekt eingerichtet und Ihr System sicher ist. Zur Überprüfung des SSL / Ihrer Website stehen zahlreiche Diagnosetools zur Verfügung.TLS. Zum Beispiel SSL Shopper's SSL-Checker Sie werden informiert, ob Ihr Zertifikat korrekt installiert ist, wann es abläuft, und das Zertifikat wird angezeigt Kette des Vertrauens.

Es stehen andere Online-Tools und -Anwendungen zur Verfügung, mit denen Ihre Website nach Sicherheitsproblemen wie gemischten Inhalten durchsucht wird. Sie können auch mit einem Webbrowser nach gemischten Inhalten suchen, indem Sie die integrierten Entwicklertools verwenden:

Warnung zu gemischten Inhalten
Warnung zu gemischten Inhalten in der Chrome-Konsole

Unabhängig davon, für welche Tools Sie sich entscheiden, ist es auch wichtig, einen Zeitplan für die Überprüfung Ihres SSL / festzulegen.TLS Installation und Konfiguration. Ihre Zertifizierungsstelle kann Ihnen möglicherweise auch dabei helfen. Als Annehmlichkeit für unsere Kunden bietet SSL.com beispielsweise automatisierte Benachrichtigungen über den bevorstehenden Ablauf des Zertifikats.


Implementieren Sie HTTP Strict Transport Security (HSTS)

HTTP Strict Transport Security (HSTS) ist ein Sicherheitsrichtlinienmechanismus, der dazu beiträgt, Websites vor Protokoll-Downgrade-Angriffen und Cookie-Hijacking zu schützen. Es ermöglicht Webservern zu erklären, dass Webbrowser (oder andere konforme Benutzeragenten) nur über sichere HTTPS-Verbindungen und niemals über das unsichere HTTP-Protokoll mit ihm interagieren sollen. Diese Richtlinie wird dem Benutzeragenten vom Server über ein HTTP-Antwort-Header-Feld mit dem Namen „Strict-Transport-Security“ mitgeteilt.

Implementieren HTTP Strict Transport Security (HSTS), müssen Sie der Konfiguration Ihres Webservers einen speziellen Antwortheader hinzufügen.

Hier ist eine Schritt-für-Schritt-Anleitung:

  1. Stellen Sie sicher, dass Ihre Website HTTPS unterstützt: Bevor Sie HSTS aktivieren, muss Ihre Site über eine gültige Version verfügen SSL-Zertifikat und in der Lage sein, Inhalte über HTTPS bereitzustellen. Wenn Ihre Website noch nicht für HTTPS konfiguriert ist, müssen Sie dies tun ein SSL-Zertifikat erhalten und konfigurieren Sie Ihren Server für die Verwendung.
Header setzt immer Strict-Transport-Security „max-age=31536000; includeSubDomains“

Diese Zeile weist den Browser an, für das nächste Jahr (31,536,000 Sekunden) immer HTTPS für Ihre Website zu verwenden, einschließlich aller Subdomains.

 

  1. Testen Sie Ihre Konfiguration: Nachdem Sie den HSTS-Header hinzugefügt haben, sollten Sie Ihre Site testen, um sicherzustellen, dass sie ordnungsgemäß funktioniert. Sie können dies tun, indem Sie Ihre Website besuchen und mit den Entwicklertools Ihres Browsers die Antwortheader überprüfen. Sie sollten den Strict-Transport-Security-Header mit dem von Ihnen festgelegten Wert sehen.
  2. Erwägen Sie, Ihre Site zur HSTS-Preload-Liste hinzuzufügen: Die HSTS-Preload-Liste ist eine Liste von Websites, die als HSTS-fähig in Browsern fest codiert sind. Dies bietet ein zusätzliches Maß an Schutz, da sichergestellt wird, dass die erste Verbindung zu Ihrer Site sicher ist, noch bevor der HSTS-Header empfangen wird. Sie können Ihre Site an die HSTS-Preload-Liste unter hstspreload.org senden.

 

Luftüberwachung: Eine Nachrichten-Website möchte sicherstellen, dass ihre Benutzer immer eine sichere Verbindung zu ihr herstellen, auch wenn sie versehentlich „http“ anstelle von „https“ in die URL eingeben. Die Website verwendet HSTS, indem sie den Strict-Transport-Security-Header zu ihrer Serverkonfiguration hinzufügt, ein langes maximales Alter festlegt und alle Subdomains einbezieht. Dies weist Benutzeragenten an, immer über HTTPS eine Verbindung herzustellen, um Benutzer vor Angriffen zu schützen, die versuchen, die Verbindung auf HTTP herunterzustufen und ihre Cookies zu stehlen. Für zusätzlichen Schutz meldet sich die Website auch bei der HSTS-Preload-Liste an.

Implementieren Sie HTTP Public Key Pinning (HPKP)

HTTP Public Key Pinning (HPKP) war eine Sicherheitsfunktion, die es einem Webserver ermöglichte, sich selbst einen bestimmten kryptografischen öffentlichen Schlüssel zuzuordnen, um dies zu verhindern Man-in-the-Middle-Angriffe (MITM) mit gefälschten Zertifikaten.

Hier ein kurzer Überblick über die Verwendung:

  1. Pinning-Informationen generieren: Der erste Schritt bei der Implementierung von HPKP bestand darin, die Pinning-Informationen zu generieren. Dabei wurde ein kryptografischer Hash des öffentlichen Schlüssels des Zertifikats oder des öffentlichen Schlüssels des Zwischen- oder Stammzertifikats erstellt.
  2. Konfigurieren Sie den Webserver: Der nächste Schritt bestand darin, den Webserver so zu konfigurieren, dass er das enthält Public-Key-Pins HTTP Header in Antworten. Dieser Header enthielt die Hashes der öffentlichen Schlüssel (die „Pins“), eine Lebensdauer (wie lange der Browser die Informationen speichern sollte) und optional einen Berichts-URI (an den der Browser Berichte über Pin-Validierungsfehler senden würde).
  3. Behandeln Sie Pin-Validierungsfehler: Wenn ein Browser, der HPKP unterstützt, eine Zertifikatskette empfing, die nicht mindestens einen der angehefteten öffentlichen Schlüssel enthielt, würde er die Verbindung als nicht vertrauenswürdig betrachten. Wenn ein Berichts-URI angegeben wurde, sendet der Browser auch einen Fehlerbericht an diesen URI.

 

Aufgrund des Missbrauchsrisikos und der Möglichkeit, einen Denial-of-Service auszulösen, ist HPKP jedoch von den meisten Browsern veraltet und wird nicht mehr empfohlen. Eine Fehlkonfiguration von HPKP kann dazu führen, dass auf eine Website nicht mehr zugegriffen werden kann.

Luftüberwachung: In der Vergangenheit nutzte ein Technologieunternehmen HPKP, um seine öffentlichen Schlüssel an seine Server zu pinnen. Dies stellte sicher, dass Browser einer Zertifizierungsstelle (CA) nicht vertrauen würden, wenn sie fälschlicherweise für ihre Domäne ausgestellt wurde, es sei denn, sie verfügte auch über einen öffentlichen Schlüssel, der mit einem der angehefteten Schlüssel übereinstimmte. Sie mussten jedoch sehr vorsichtig sein, um nicht den Zugriff auf die gepinnten Schlüssel zu verlieren, was dazu führen würde, dass ihre Website nicht mehr zugänglich wäre. Sie mussten außerdem sicherstellen, dass sie über einen Prozess verfügen, um die Pins zu rotieren, bevor sie ablaufen, um zu vermeiden, dass ihre Website für Benutzer mit zwischengespeicherten Pinning-Informationen unzugänglich wird.

SSL.com bietet eine große Auswahl von SSL/TLS Serverzertifikate. Sichern Sie Ihre Website noch heute mit einem SSL-Zertifikat von SSL.com und Bauen Sie Vertrauen bei Ihren Besuchern auf!

VERGLEICHEN SSL /TLS ZERTIFIKATE

Verwenden Sie die TLS Fallback-SCSV zur Verhinderung von Protokoll-Downgrade-Angriffen

TLS Fallback-SCSV (Wert der Signalisierungs-Cipher-Suite) ist ein Mechanismus, der eingeführt wurde, um Protokoll-Downgrade-Angriffe zu verhindern. Zu diesen Angriffen kommt es, wenn ein Angreifer den Verbindungsaufbau stört und Client und Server dazu verleitet, eine weniger sichere Version des Protokolls zu verwenden, als sie beide tatsächlich unterstützen.

So können Sie es umsetzen TLS Fallback-SCSV:

  1. Aktualisieren Sie das SSL/TLS Bibliothek: Der erste Schritt besteht darin, sicherzustellen, dass die SSL/TLS Bibliotheksunterstützung TLS Fallback-SCSV. Diese Funktion wurde in OpenSSL 1.0.1j, 1.0.0o und 0.9.8zc eingeführt. Wenn Sie ein anderes SSL/ verwendenTLS Lesen Sie die Dokumentation der Bibliothek oder wenden Sie sich an die Entwickler.
  2. Konfigurieren Sie Ihren Server: Sobald die SSL/TLS Bibliotheksunterstützung TLS Fallback-SCSV. Möglicherweise müssen Sie Ihren Server für die Verwendung konfigurieren. Die genauen Schritte hängen von Ihrer Serversoftware ab. In Apache müssen Sie beispielsweise möglicherweise eine Zeile wie diese in Ihrer Konfigurationsdatei hinzufügen oder ändern:

 

SSL-Protokoll Alle -SSLv2 -SSLv3

Diese Zeile weist den Server an, alle Protokollversionen außer SSLv2 und SSLv3 zu verwenden. Wenn sowohl der Client als auch der Server dies unterstützen TLS 1.2, aber der Client versucht, es zu verwenden TLS 1.1 (möglicherweise aufgrund der Einmischung eines Angreifers) erkennt der Server dies als Fallback-Versuch und lehnt die Verbindung ab.

  1. Testen Sie Ihren Server: Nachdem Sie Ihren Server konfiguriert haben, sollten Sie ihn testen, um sicherzustellen, dass er korrekt implementiert wird TLS Fallback-SCSV. Es gibt verschiedene Online-Tools, die Ihnen dabei helfen können, wie zum Beispiel den SSL Labs Server Test.

 

Luftüberwachung: Ein Weltkonzern nutzt TLS Fallback-SCSV zum Schutz seiner internen Kommunikation. Dies stellt sicher, dass der Server dies erkennt und die Verbindung ablehnt, wenn ein Angreifer versucht, ein Protokoll-Downgrade zu erzwingen, wodurch die sensiblen Daten des Unternehmens geschützt werden. Das IT-Team des Unternehmens aktualisiert regelmäßig die SSL/TLS Bibliotheken und Konfigurationen, um sicherzustellen, dass sie die neuesten Sicherheitsfunktionen verwenden, und sie verwenden Online-Tools, um ihre Server zu testen und zu bestätigen, dass sie korrekt implementiert werden TLS Fallback-SCSV.

Vermeiden Sie Probleme mit gemischten Inhalten

Gemischte Inhalte stellen ein Sicherheitsrisiko dar, das auftritt, wenn eine über eine sichere HTTPS-Verbindung geladene Webseite Ressourcen wie Bilder, Videos, Stylesheets oder Skripte enthält, die über eine unsichere HTTP-Verbindung geladen werden. Browser blockieren möglicherweise diesen gemischten Inhalt oder zeigen dem Benutzer eine Warnung an, was die Wahrnehmung der Sicherheit der Website durch den Benutzer beeinträchtigen kann.

So können Sie Probleme mit gemischten Inhalten vermeiden:

  1. Verwenden Sie HTTPS für alle Ressourcen: Der einfachste Weg, gemischte Inhalte zu vermeiden, besteht darin, sicherzustellen, dass alle Ressourcen auf Ihrer Website über HTTPS geladen werden. Dazu gehören Bilder, Skripte, Stylesheets, Iframes, AJAX-Anfragen und alle anderen Ressourcen, die Ihre Website verwendet.
  2. Aktualisieren Sie den Code Ihrer Website: Wenn der Code Ihrer Website hartcodierte HTTP-URLs für Ressourcen enthält, müssen Sie diese aktualisieren, um stattdessen HTTPS zu verwenden. Wenn die Ressource auf einem Server gehostet wird, der HTTPS nicht unterstützt, müssen Sie die Ressource möglicherweise auf Ihrem eigenen Server hosten oder eine alternative Ressource finden, die über HTTPS geladen werden kann.
  3. Konfigurieren Sie Ihren Server so, dass er einen Content-Security-Policy-Header sendet: Mit dem HTTP-Header Content-Security-Policy (CSP) können Sie steuern, welche Ressourcen Ihre Website laden darf. Indem Sie einen CSP-Header festlegen, der nur HTTPS-Ressourcen zulässt, können Sie sicherstellen, dass Ihre Website nicht versehentlich gemischte Inhalte enthält.

 

Luftüberwachung: Ein Online-Magazin stellt sicher, dass alle Inhalte, einschließlich Bilder und Skripte, über HTTPS geladen werden. Dadurch wird verhindert, dass Angreifer diese Ressourcen manipulieren und möglicherweise schädliche Inhalte einschleusen. Die Webentwickler des Magazins überprüfen regelmäßig den Code der Website, um sicherzustellen, dass alle Ressourcen über HTTPS geladen werden, und konfigurieren ihren Server so, dass er einen strengen Content-Security-Policy-Header sendet. Sie verwenden auch Online-Tools, um ihre Website auf Probleme mit gemischten Inhalten zu scannen und alle gefundenen Probleme zu beheben.

Nutzen Sie Server Name Indication (SNI) zum Hosten mehrerer Sites

Servernamensanzeige (SNI) ist eine Erweiterung der TLS Protokoll, das es einem Server ermöglicht, mehrere Zertifikate auf derselben IP-Adresse und Portnummer vorzulegen. Dies ist besonders nützlich für Webhosting-Anbieter, die mehrere sichere Websites mit jeweils eigenem SSL-Zertifikat auf demselben Server hosten müssen.

So können Sie SNI nutzen:

  1. Stellen Sie sicher, dass Ihre Serversoftware SNI unterstützt: Der erste Schritt besteht darin, sicherzustellen, dass Ihre Serversoftware SNI unterstützt. Die meisten modernen Webserver, einschließlich Apache, Nginx und IIS, unterstützen SNI.
  2. Konfigurieren Sie Ihren Server: Der nächste Schritt besteht darin, Ihren Server für die Verwendung von SNI zu konfigurieren. Dazu gehört in der Regel das Hinzufügen eines separaten Konfigurationsblocks für jede Site, die Sie auf dem Server hosten möchten, und die Angabe des SSL-Zertifikat für jede Site zu verwenden. Die genauen Schritte hängen von Ihrer Serversoftware ab.
  3. Testen Sie Ihre Konfiguration: Nachdem Sie Ihren Server konfiguriert haben, sollten Sie ihn testen, um sicherzustellen, dass er SNI korrekt verwendet. Sie können dies tun, indem Sie jede Site besuchen, die Sie auf dem Server hosten, und überprüfen, ob das richtige SSL-Zertifikat verwendet wird.

 

Luftüberwachung: Ein Hosting-Anbieter verwendet SNI, um mehrere Websites von derselben IP-Adresse aus bereitzustellen. Dadurch können sie ihren IP-Adressraum effizient nutzen und ihre Netzwerkkonfiguration vereinfachen. Sie konfigurieren ihren Server so, dass er für jede Site ein anderes SSL-Zertifikat verwendet, und testen ihre Konfiguration regelmäßig, um sicherzustellen, dass für jede Site das richtige Zertifikat verwendet wird. Dadurch wird sichergestellt, dass jede Site über eine sichere, vertrauenswürdige Verbindung verfügt, auch wenn sie alle von derselben IP-Adresse aus bedient werden.

Optimieren Sie die Leistung durch Sitzungswiederaufnahme

Die Wiederaufnahme der Sitzung ist eine Funktion von TLS Protokoll, das es einem Client und einem Server ermöglicht, über mehrere Sitzungen hinweg dieselben Verschlüsselungsschlüssel zu verwenden, wodurch der Aufwand für den Aufbau einer neuen sicheren Verbindung jedes Mal reduziert wird. Dies kann die Leistung erheblich verbessern, insbesondere bei Anwendungen, bei denen der Client häufig die Verbindung trennt und wieder aufbaut.

 So können Sie die Sitzungswiederaufnahme nutzen:

  1. Stellen Sie sicher, dass Ihre Serversoftware die Sitzungswiederaufnahme unterstützt: Der erste Schritt besteht darin, sicherzustellen, dass Ihre Serversoftware die Sitzungswiederaufnahme unterstützt. Die meisten modernen Webserver, einschließlich Apache, Nginx und IIS, unterstützen diese Funktion.
  2. Konfigurieren Sie Ihren Server: Der nächste Schritt besteht darin, Ihren Server für die Verwendung der Sitzungswiederaufnahme zu konfigurieren. Dies umfasst normalerweise das Aktivieren des Sitzungscache und das Festlegen eines Zeitüberschreitungswerts für den Cache. Die genauen Schritte hängen von Ihrer Serversoftware ab.
  3. Testen Sie Ihre Konfiguration: Nachdem Sie Ihren Server konfiguriert haben, sollten Sie ihn testen, um sicherzustellen, dass er die Sitzungswiederaufnahme korrekt verwendet. Sie können dies tun, indem Sie eine einrichten TLS Verbindung zu Ihrem Server herstellen, trennen und dann erneut verbinden. Wenn die Sitzungswiederaufnahme ordnungsgemäß funktioniert, sollte die zweite Verbindung schneller hergestellt werden können als die erste.

 

Luftüberwachung: Eine mobile App nutzt die Sitzungswiederaufnahme, um schnelle und sichere Verbindungen aufrechtzuerhalten. Dies ist besonders nützlich, wenn die App in Gebieten mit schlechter Netzabdeckung verwendet wird, da die App so nach einem Verbindungsabbruch schnell eine sichere Verbindung wiederherstellen kann. Die Entwickler der App konfigurieren ihren Server für die Verwendung der Sitzungswiederaufnahme und testen die Funktion regelmäßig, um sicherzustellen, dass sie ordnungsgemäß funktioniert. Dadurch wird sichergestellt, dass die App den Benutzern auch unter schwierigen Netzwerkbedingungen ein schnelles und nahtloses Erlebnis bieten kann.

 

Stellen Sie die Gültigkeit des Zertifikats mit OCSP-Stapling sicher

Das Heften des Online Certificate Status Protocol (OCSP) ist eine Methode zur Verbesserung der Leistung von SSL/TLS unter Beibehaltung der Sicherheit der Verbindung. Es ermöglicht dem Server, den aktuellen Status seiner eigenen Zertifikate von der Zertifizierungsstelle (CA) abzurufen und diesen Status dann während des Vorgangs an Clients zu übermitteln TLS Handschlag.

So können Sie das OCSP-Heften implementieren:

  1. Stellen Sie sicher, dass Ihre Serversoftware OCSP-Stapling unterstützt: Der erste Schritt besteht darin, sicherzustellen, dass Ihre Serversoftware OCSP-Heften unterstützt. Die meisten modernen Webserver, einschließlich Apache, Nginx und IIS, unterstützen diese Funktion.
  2. Konfigurieren Sie Ihren Server: Der nächste Schritt besteht darin, Ihren Server für die Verwendung von OCSP-Heften zu konfigurieren. Dies erfordert normalerweise die Aktivierung der Funktion im SSL/Server-Protokoll Ihres Servers.TLS Konfiguration und Angabe eines Speicherorts für den Server zum Speichern der OCSP-Antworten. Die genauen Schritte hängen von Ihrer Serversoftware ab.
  3. Testen Sie Ihre Konfiguration: Nachdem Sie Ihren Server konfiguriert haben, sollten Sie ihn testen, um sicherzustellen, dass er OCSP-Heftung korrekt verwendet. Sie können dies tun, indem Sie eine einrichten TLS Stellen Sie eine Verbindung zu Ihrem Server her und prüfen Sie, ob der Server eine OCSP-Antwort enthält TLS Handschlag.

 

Luftüberwachung: Ein Online-Händler nutzt OCSP-Stapling, um den Status seines SSL-Zertifikats schnell zu überprüfen. Dadurch ist sichergestellt, dass Kunden stets über eine sichere Verbindung verfügen und darauf vertrauen können, dass ihre Daten sicher sind. Das IT-Team des Einzelhändlers konfiguriert seinen Server für die Verwendung von OCSP-Heftung und testet die Funktion regelmäßig, um sicherzustellen, dass sie ordnungsgemäß funktioniert. Dies trägt dazu bei, das Vertrauen ihrer Kunden aufrechtzuerhalten und ihre sensiblen Daten zu schützen.

 

Deaktivieren TLS Komprimierung zur Eindämmung von kriminellen Angriffen

TLS Komprimierung ist eine Funktion, die die Leistung von SSL/ verbessern kann.TLS durch Reduzierung der Datenmenge, die über das Netzwerk gesendet werden muss. Allerdings kann es die Verbindung auch anfällig für den CRIME-Angriff (Compression Ratio Info-Leak Made Easy) machen, der es einem Angreifer ermöglichen kann, auf den Inhalt des verschlüsselten Datenverkehrs zu schließen.

Hier erfahren Sie, wie Sie es deaktivieren können TLS Kompression: 

  1. Stellen Sie sicher, dass Ihre Serversoftware die Deaktivierung unterstützt TLS Kompression: Der erste Schritt besteht darin, sicherzustellen, dass Ihre Serversoftware die Deaktivierung unterstützt TLS Kompression. Die meisten modernen Webserver, einschließlich Apache, Nginx und IIS, unterstützen diese Funktion.
  2. Konfigurieren Sie Ihren Server: Der nächste Schritt besteht darin, Ihren Server so zu konfigurieren, dass er deaktiviert wird TLS Kompression. Die genauen Schritte hängen von Ihrer Serversoftware ab. In Apache könnten Sie beispielsweise eine Zeile wie diese zu Ihrer Konfigurationsdatei hinzufügen:
SSL-Komprimierung deaktiviert

Diese Zeile weist den Server an, keine Komprimierung für SSL/zu verwenden.TLS Verbindungen.

  1. Testen Sie Ihre Konfiguration: Nachdem Sie Ihren Server konfiguriert haben, sollten Sie ihn testen, um sicherzustellen, dass er ordnungsgemäß deaktiviert wird TLS Kompression. Sie können dies tun, indem Sie eine einrichten TLS Stellen Sie eine Verbindung zu Ihrem Server her und stellen Sie sicher, dass die Verbindung keine Komprimierung verwendet.

 

Luftüberwachung: Ein Finanzinstitut deaktiviert TLS Komprimierung auf seinen Servern zum Schutz vor CRIME-Angriffen. Dies trägt dazu bei, die Vertraulichkeit sensibler Finanzdaten wie Kontonummern und Transaktionsdetails sicherzustellen. Das IT-Team der Institution konfiguriert ihre Server so, dass sie deaktiviert werden TLS Komprimierung und testen die Server regelmäßig, um sicherzustellen, dass diese Sicherheitsmaßnahme korrekt implementiert wird. Dies trägt dazu bei, die Kunden des Instituts zu schützen und ihr Vertrauen zu wahren.

Implementieren Sie TLS Sitzungstickets richtig

TLS Sitzungstickets sind eine Funktion der TLS Protokoll, das die Leistung verbessern kann, indem es einem Client und einem Server ermöglicht, eine vorherige Sitzung fortzusetzen, ohne einen vollständigen Handshake durchführen zu müssen. Sie müssen jedoch korrekt implementiert werden, um potenzielle Sicherheitsprobleme zu vermeiden.

So können Sie es richtig umsetzen TLS Sitzungstickets:

  1. Stellen Sie sicher, dass Ihre Serversoftware dies unterstützt TLS Sitzungstickets: Der erste Schritt besteht darin, sicherzustellen, dass Ihre Serversoftware dies unterstützt TLS Sitzungskarten. Die meisten modernen Webserver, einschließlich Apache, Nginx und IIS, unterstützen diese Funktion.
  2. Konfigurieren Sie Ihren Server: Der nächste Schritt besteht darin, Ihren Server für die Verwendung zu konfigurieren TLS Sitzungskarten. Dies erfordert normalerweise die Aktivierung der Funktion im SSL/Server-Protokoll Ihres Servers.TLS Aufbau. Die genauen Schritte hängen von Ihrer Serversoftware ab.
  3. Verwenden Sie eindeutige Sitzungsticketschlüssel: Um mögliche Sicherheitsprobleme zu vermeiden, sollte jeder Server einen eindeutigen Sitzungsticketschlüssel verwenden. Wenn Sie einen Load Balancer verwenden, sollten Sie ihn so konfigurieren, dass er Clients basierend auf ihrem Sitzungsticket verteilt, anstatt den Clients zu erlauben, ein von einem Server ausgestelltes Sitzungsticket zu verwenden, um eine Sitzung mit einem anderen Server aufzubauen.
  4. Tauschen Sie die Schlüssel für Sitzungstickets regelmäßig aus: Um die Sicherheit weiter zu erhöhen, sollten Sie Ihre Sitzungsticketschlüssel regelmäßig wechseln. Dies kann häufig mithilfe Ihrer Serversoftware oder eines separaten Schlüsselverwaltungssystems automatisiert werden.

 

Luftüberwachung: Ein großes Technologieunternehmen mit mehreren Servern stellt sicher, dass jeder Server einen eindeutigen Sitzungsticketschlüssel verwendet. Dadurch wird verhindert, dass ein Angreifer ein Sitzungsticket von einem Server verwenden kann, um sich als Benutzer auf einem anderen Server auszugeben. Das IT-Team des Unternehmens konfiguriert seine Server für die Verwendung TLS Sitzungstickets, und sie richten ein System ein, um die Schlüssel für Sitzungstickets regelmäßig zu wechseln. Außerdem konfigurieren sie ihren Load Balancer so, dass Clients basierend auf ihrem Sitzungsticket verteilt werden, was die Sicherheit ihres Systems weiter erhöht.

Aktivieren Sie die sichere Neuverhandlung

Die sichere Neuaushandlung ist eine Funktion des SSL/TLS Protokolle, die es dem Client oder Server ermöglichen, ein neues anzufordern TLS Handschlag mitten in einer Sitzung. Dies kann aus verschiedenen Gründen nützlich sein, beispielsweise zum Aktualisieren von Verschlüsselungsschlüsseln oder zum Ändern der Verschlüsselungsstufe. Wenn es jedoch nicht sicher gehandhabt wird, kann es von einem Angreifer ausgenutzt werden, um Klartext in die verschlüsselte Kommunikation einzuschleusen.

So können Sie die sichere Neuverhandlung aktivieren:

  1. Stellen Sie sicher, dass Ihre Serversoftware sichere Neuverhandlung unterstützt: Der erste Schritt besteht darin, sicherzustellen, dass Ihre Serversoftware eine sichere Neuverhandlung unterstützt. Die meisten modernen Webserver, einschließlich Apache, Nginx und IIS, unterstützen diese Funktion.
  2. Konfigurieren Sie Ihren Server: Der nächste Schritt besteht darin, Ihren Server für die Verwendung der sicheren Neuverhandlung zu konfigurieren. Dies erfordert normalerweise die Aktivierung der Funktion im SSL/Server-Protokoll Ihres Servers.TLS Aufbau. Die genauen Schritte hängen von Ihrer Serversoftware ab.
  3. Testen Sie Ihre Konfiguration: Nachdem Sie Ihren Server konfiguriert haben, sollten Sie ihn testen, um sicherzustellen, dass er die sichere Neuverhandlung ordnungsgemäß verwendet. Sie können dies tun, indem Sie eine einrichten TLS Verbindung zu Ihrem Server herzustellen und dann zu versuchen, die Verbindung neu auszuhandeln.

 

Luftüberwachung: Eine Social-Media-Plattform ermöglicht eine sichere Neuverhandlung zum Schutz der Benutzerdaten. Dadurch wird verhindert, dass ein Angreifer schädliche Inhalte in die verschlüsselte Kommunikation zwischen Benutzer und Server einschleusen kann. Das IT-Team der Plattform konfiguriert seine Server für die Verwendung einer sicheren Neuverhandlung und testet die Server regelmäßig, um sicherzustellen, dass sie diese Sicherheitsmaßnahme korrekt implementieren. Dies trägt dazu bei, die Benutzer der Plattform zu schützen und ihr Vertrauen aufrechtzuerhalten.

Deaktivieren Sie die vom Client initiierte Neuverhandlung, um DoS-Angriffe zu verhindern

Die vom Client initiierte Neuverhandlung ist eine Funktion des SSL/TLS Protokolle, die es dem Client ermöglichen, ein neues anzufordern TLS Handschlag mitten in einer Sitzung. Wenn ein Angreifer jedoch einen Server dazu zwingen kann, Sitzungen ständig neu auszuhandeln, kann dies übermäßige Ressourcen verbrauchen und möglicherweise zu einem Denial-of-Service-Angriff (DoS) führen.

So können Sie die vom Client initiierte Neuverhandlung deaktivieren:

  1. Stellen Sie sicher, dass Ihre Serversoftware die Deaktivierung der vom Client initiierten Neuverhandlung unterstützt: Der erste Schritt besteht darin, sicherzustellen, dass Ihre Serversoftware die Deaktivierung der vom Client initiierten Neuverhandlung unterstützt. Die meisten modernen Webserver, einschließlich Apache, Nginx und IIS, unterstützen diese Funktion.
  2. Konfigurieren Sie Ihren Server: Der nächste Schritt besteht darin, Ihren Server so zu konfigurieren, dass die vom Client initiierte Neuverhandlung deaktiviert wird. Dies erfordert normalerweise das Hinzufügen einer Anweisung zum SSL/Server-Protokoll Ihres Servers.TLS Aufbau. Die genauen Schritte hängen von Ihrer Serversoftware ab.
  3. Testen Sie Ihre Konfiguration: Nachdem Sie Ihren Server konfiguriert haben, sollten Sie ihn testen, um sicherzustellen, dass er die vom Client initiierte Neuverhandlung korrekt deaktiviert. Sie können dies tun, indem Sie eine einrichten TLS Verbindung zu Ihrem Server herzustellen und dann zu versuchen, die Verbindung neu auszuhandeln. Wenn der Server die Neuverhandlungsanforderung korrekt ablehnt, ist er korrekt konfiguriert.

 

Luftüberwachung: Eine Online-Gaming-Plattform deaktiviert die vom Kunden initiierte Neuverhandlung, um sich vor potenziellen DoS-Angriffen zu schützen. Dies trägt dazu bei, sicherzustellen, dass die Plattform auch bei potenziellen Angriffen für Benutzer verfügbar bleibt. Das IT-Team der Plattform konfiguriert seine Server so, dass die vom Client initiierte Neuverhandlung deaktiviert wird, und testet die Server regelmäßig, um sicherzustellen, dass sie diese Sicherheitsmaßnahme korrekt implementieren. Dies trägt dazu bei, die Benutzer der Plattform zu schützen und ihr Vertrauen aufrechtzuerhalten.

Bleiben Sie auf neue Sicherheitslücken aufmerksam

Die Websicherheit ist ein sich ständig bewegendes Ziel, und Sie sollten immer nach dem nächsten Angriff Ausschau halten und umgehend Sicherheitspatches auf Ihrem Server anwenden. Dies bedeutet, zu lesen und in Kontakt zu bleiben, was in Bezug auf Informationssicherheit am Horizont steht, sowie Software-Updates auf dem Laufenden zu halten - insbesondere die kritischen. Die Website von SSL.com (wo Sie dies gerade lesen) ist eine großartige Quelle, um über SSL / auf dem Laufenden zu bleiben.TLS und Informationssicherheit.

Aber was ist mit…?

Wenn Sie mehr über die in diesem Handbuch behandelten Themen erfahren und neue Probleme und Technologien kennenlernen möchten, können Sie zunächst SSL.com durchsuchen Wissensbasis, die wir wöchentlich über neue Entwicklungen im Bereich SSL / auf dem Laufenden halten.TLS und PKI. Sie können sich auch jederzeit per E-Mail an unsere Support-Mitarbeiter wenden Support@SSL.com, am Telefon bei 1-877-SSL-Secureoder indem Sie auf den Chat-Link unten rechts auf dieser Seite klicken.

SSL.com bietet eine Vielzahl von SSL /TLS Serverzertifikate für HTTPS-Websites.

VERGLEICHEN SSL /TLS ZERTIFIKATE

 

Holen Sie sich kompetente Beratung zu SSL-Zertifikaten.
Füllen Sie das Formular für eine Beratung aus.

Twitter
Facebook
LinkedIn
Reddit
E-Mail

SSL.com-Support-Team

Autor - Inhaltsadministrator
Alle Artikel "

Bleiben Sie informiert und sicher

SSL.com ist ein weltweit führendes Unternehmen im Bereich Cybersicherheit, PKI und digitale Zertifikate. Melden Sie sich an, um die neuesten Branchennachrichten, Tipps und Produktankündigungen von zu erhalten SSL.com.

Wir würden uns über Ihr Feedback freuen

Nehmen Sie an unserer Umfrage teil und teilen Sie uns Ihre Meinung zu Ihrem letzten Kauf mit.

Nehmen Sie an einer Umfrage teil