SSL /TLS Best Practices für 2021

Im Jahr 2021 sichern Sie Ihre Website mit einem SSL /TLS Zertifikat ist nicht mehr optional, auch für Unternehmen, die nicht direkt mit sensiblen Kundeninformationen im Web umgehen. Suchmaschinen wie Google verwenden die Website-Sicherheit als SEO-Ranking-Signal, und beliebte Webbrowser wie Chrome machen Benutzer auf Websites aufmerksam, die kein HTTPS verwenden:

Die Aussicht, Ihre Webserver und Anwendungen für die Verwendung von SSL / einzurichtenTLS Das korrekte Protokoll kann sich entmutigend anfühlen, da viele arkane Konfigurations- und Designentscheidungen getroffen werden müssen. Dieses Handbuch bietet einen schnellen Überblick über die wichtigsten Punkte, die beim Einrichten von SSL / zu beachten sind.TLS für Ihre Website, wobei Sie sich sowohl auf Sicherheit als auch auf Leistung konzentrieren. Es gibt noch viel zu besprechen, also haben wir es in eine Reihe von Schritten unterteilt.

Wählen Sie eine zuverlässige Zertifizierungsstelle (CA).

Ihre Zertifikate sind nur so vertrauenswürdig wie die Zertifizierungsstelle, die sie ausstellt. Alle öffentlich vertrauenswürdigen Zertifizierungsstellen werden strengen Prüfungen durch Dritte unterzogen, um ihre Position in den wichtigsten Stammzertifizierungsprogrammen für Betriebssysteme und Browser zu behaupten. Einige können diesen Status jedoch besser beibehalten als andere. Suchen Sie nach einer Zertifizierungsstelle, die (wie SSL.com):

• Erledigt den größten Teil seines Geschäfts im Bereich des öffentlichen Vertrauens PKI. Diese Unternehmen haben am meisten zu verlieren, wenn schlechte Sicherheitspraktiken zutage treten, und alles, was sie gewinnen können, wenn sie mit den sich entwickelnden Industriestandards Schritt halten.
• Reagiert effizient und effektiv auf Schwachstellenentdeckungen, die sich auf die Sicherheit und den Datenschutz der Benutzer auswirken, wie die branchenweit Seriennummernentropie Ausgabe von Anfang 2019. Suche in Branchenforen wie mozilla.dev.security.policy kann Ihnen eine gute Vorstellung davon geben, wie eine bestimmte Zertifizierungsstelle auf Widrigkeiten reagiert.
• Bietet nützliche Produkte und DienstleistungenB. EV-Zertifikate (Extended Validation), Massen- / automatisierte Zertifikatsausstellung über eine intuitive Benutzeroberfläche API oder im ACME-Protokoll, einfache Dienste zur Verwaltung und Überwachung des Lebenszyklus von Zertifikaten und Support zur Integration mit einer umfangreichen Liste von Lösungen von Drittanbietern.
• Hat einen Ruf für hervorragenden Kundenservice und technischen Support. Es ist wichtig, die Website Ihres Unternehmens zu 100% sicher zu halten, und Sie müssen in der Lage sein, einen echten Experten am Telefon zu finden, wenn etwas schief geht.

Zertifizierungsstelle (CAA)

Zertifizierungsstelle (CAA) ist ein Standard zum Schutz von Websites, indem bestimmte Zertifizierungsstellen festgelegt werden, die Zertifikate für einen Domainnamen ausstellen dürfen. Sobald Sie eine Zertifizierungsstelle ausgewählt haben, sollten Sie dies berücksichtigen Konfigurieren von CAA-Datensätzen um es zu autorisieren.

Generieren und sichern Sie Ihre privaten Schlüssel

Dieses SSL /TLS Protokoll verwendet ein Schlüsselpaar um Identitäten zu authentifizieren und über das Internet gesendete Informationen zu verschlüsseln. Eine davon (die Öffentlicher Schlüssel) ist für die weite Verbreitung bestimmt, und die andere (die privater Schlüssel) sollte so sicher wie möglich aufbewahrt werden. Diese Schlüssel werden zusammen erstellt, wenn Sie eine generieren Zertifikatsignierungsanforderung (CSR). Hier sind einige Hinweise, die Sie in Bezug auf Ihre privaten Schlüssel beachten sollten:

• Verwenden Sie starke private Schlüssel: Größere Schlüssel sind schwerer zu knacken, erfordern jedoch mehr Rechenaufwand. Derzeit wird mindestens ein 2048-Bit-RSA-Schlüssel oder ein 256-Bit-ECDSA-Schlüssel empfohlen. Die meisten Websites können mit diesen Werten eine gute Sicherheit erzielen und gleichzeitig die Leistung und Benutzererfahrung optimieren.
  
  Hinweis: Eine Übersicht über diese beiden Algorithmen finden Sie im Artikel von SSL.com. Vergleich von ECDSA und RSA.
• Schützen Sie Ihre privaten Schlüssel:
  • Generieren Sie Ihre eigenen privaten Schlüssel in einer sicheren und vertrauenswürdigen Umgebung (vorzugsweise auf dem Server, auf dem sie bereitgestellt werden, oder auf einem FIPS- oder Common Criteria-kompatiblen Gerät). Nie Erlauben Sie einer Zertifizierungsstelle (oder einer anderen Person), private Schlüssel in Ihrem Namen zu generieren. Eine seriöse öffentliche Zertifizierungsstelle wie SSL.com bietet niemals an, Ihre privaten Schlüssel zu generieren oder zu verarbeiten, es sei denn, sie werden in einem sicheren Hardware-Token oder HSM generiert und sind nicht exportierbar.
  • Geben Sie nur bei Bedarf Zugriff auf private Schlüssel. Generieren Sie neue Schlüssel und widerrufen Alle Zertifikate für die alten Schlüssel, wenn Mitarbeiter mit Zugriff auf private Schlüssel das Unternehmen verlassen.
  • Erneuern Sie Zertifikate so oft wie möglich (mindestens jährlich wäre gut), wobei Sie vorzugsweise jedes Mal einen frisch generierten privaten Schlüssel verwenden. Automatisierungstools wie das ACME-Protokoll sind hilfreich für die Planung häufiger Zertifikatserneuerungen.
  • Wenn ein privater Schlüssel kompromittiert wurde (oder möglicherweise kompromittiert wurde), widerrufen Alle Zertifikate für diesen Schlüssel generieren ein neues Schlüsselpaar und stellen ein neues Zertifikat für das neue Schlüsselpaar aus.

Konfigurieren Sie Ihren Server

An der Oberfläche, Installation eines SSL /TLS bescheinigt mag wie eine unkomplizierte Operation erscheinen; Es müssen jedoch noch viele Konfigurationsentscheidungen getroffen werden, um sicherzustellen, dass Ihr Webserver schnell und sicher ist und dass Endbenutzer eine reibungslose Erfahrung haben, die frei von Browserfehlern und Warnungen ist. Im Folgenden finden Sie einige Konfigurationshinweise, die Sie beim Einrichten von SSL / auf den richtigen Weg bringen.TLS auf Ihren Servern:

• Stellen Sie sicher, dass alle Hostnamen abgedeckt sind: Deckt Ihr Zertifikat den Domainnamen Ihrer Site mit und ohne ab? www Präfix? Gibt es eine Alternativer Name des Betreffs (SAN) Für jeden Domainnamen soll das Zertifikat schützen?
• Installieren Sie die vollständigen Zertifikatketten: Endentität SSL /TLS Zertifikate werden im Allgemeinen von Zwischenzertifikaten und nicht vom Stammschlüssel einer Zertifizierungsstelle signiert. Stellen Sie sicher, dass alle Zwischenzertifikate auf Ihrem Webserver installiert sind, um den Browsern ein vollständiges Zertifikat zu bieten Zertifizierungspfad und vermeiden Sie Vertrauenswarnungen und Fehler für Endbenutzer. Ihre Zertifizierungsstelle kann Ihnen alle erforderlichen Zwischenprodukte zur Verfügung stellen. Kunden von SSL.com können unsere nutzen Download des Zwischenzertifikats Seite zum Abrufen von Zwischenpaketen für viele Serverplattformen.
• Aktuelles SSL verwenden /TLS Protokolle (TLS 1.2 oder 1.3): Ende 2018 kündigten alle großen Browser-Anbieter Pläne zur Ablehnung an TLS 1.0 und 1.1 bis zum ersten Halbjahr 2020. Google veraltet TLS v1.0 und v1.1 in Chrome 72 (veröffentlicht am 30. Januar 2919). Chrome-Versionen 84 (veröffentlicht am 14. Juli 2020) und höher enthalten eine Interstitial-Warnung für diese Protokolle vollständig entfernt im Mai 2021. Weit verbreitete Browser-Unterstützung früherer SSL /TLS Versionen wie SSL v3 sind längst vorbei. Während TLS 1.2 ist derzeit die am weitesten verbreitete Version von SSL /TLS Protokoll, TLS 1.3 (die neueste Version) ist bereits unterstützt in den aktuellen Versionen der meisten gängigen Webbrowser.
• Verwenden Sie eine kurze Liste sicherer Cipher Suites: Wählen Sie nur Cipher Suites, die mindestens 128-Bit-Verschlüsselung bieten oder wenn möglich stärker. Das Nationale Institut für Standards und Technologie (NIST) empfiehlt dies ebenfalls TLS Implementierungen werden von Verschlüsselungssuiten, die die DES-Verschlüsselung (oder ihre Varianten) enthalten, zu solchen mit AES verschoben. Schließlich minimiert die Verwendung nur einer kleinen Teilmenge potenziell akzeptabler Cipher Suites die Angriffsfläche für noch unentdeckte Sicherheitslücken. Der Anhang von SSL.com Zielführung nach... TLS Einhaltung von Standards bietet Beispielkonfigurationen für die gängigsten Webserverplattformen mit TLS 1.2
  
  Hinweis: Die Verwendung unsicherer, veralteter Chiffren (z. B. RC4) kann zu Browsersicherheitsfehlern führen, z ERR_SSL_VERSION_OR_CIPHER_MISMATCH im Google-Chrome.
• Forward Secrecy (FS) verwenden: Auch bekannt als perfekte Vorwärtsgeheimnis (PFS)FS stellt sicher, dass ein kompromittierter privater Schlüssel auch frühere Sitzungsschlüssel nicht gefährdet. So aktivieren Sie FS:
  • Einrichtung TLS 1.2 zur Verwendung des EDCHE-Schlüsselaustauschalgorithmus (Elliptic Curve Diffie-Hellman) (mit DHE als Fallback) und vermeiden Sie den Austausch von RSA-Schlüsseln nach Möglichkeit vollständig.
  • Nutzen Sie den TLS 1.3. TLS 1.3 bietet Vorwärtsgeheimnis für alle TLS Sitzungen über die Ephemeral Diffie-Hellman (EDH oder DHE) Schlüsselaustauschprotokoll.
• Ermöglichen TLS Wiederaufnahme der Sitzung: Ähnlich wie bei der Verwendung von Keepalives zur Aufrechterhaltung dauerhafter TCP-Verbindungen TLS Durch die Wiederaufnahme der Sitzung kann Ihr Webserver das kürzlich ausgehandelte SSL / verfolgenTLS Sitzungen und setzen Sie sie fort, wobei der Rechenaufwand für die Aushandlung von Sitzungsschlüsseln umgangen wird.
• Betrachten Sie OCSP-Heften: OCSP-Heften Ermöglicht Webservern, zwischengespeicherte Sperrinformationen direkt an den Client zu übermitteln. Dies bedeutet, dass ein Browser keinen OCSP-Server kontaktieren muss, um zu überprüfen, ob das Zertifikat einer Website widerrufen wurde. Durch das Eliminieren dieser Anforderung bietet das OCSP-Heften einen echten Leistungsschub. Für weitere Informationen lesen Sie bitte unseren Artikel, Optimierung des Seitenladens: OCSP-Heften.

Verwenden Sie Best Practices für das Design von Webanwendungen

Das Design Ihrer Webanwendungen unter Berücksichtigung der Sicherheit ist ebenso wichtig wie die korrekte Konfiguration Ihres Servers. Dies sind die wichtigsten Punkte, um sicherzustellen, dass Ihre Benutzer nicht ausgesetzt sind Mann in der Mitte Angriffe, und dass Ihre Anwendung die SEO-Vorteile erhält, die mit guten Sicherheitspraktiken verbunden sind:

• Gemischte Inhalte beseitigen: JavaScript-Dateien, Bilder und CSS-Dateien sollten Alle Zugriff mit SSL /TLS. Wie im Artikel von SSL.com beschrieben, HTTPS Everywhere, Portion gemischter Inhalt Dies ist kein akzeptabler Weg mehr, um die Leistung der Website zu steigern, und kann zu Sicherheitswarnungen des Browsers und SEO-Problemen führen.
• Verwenden Sie sichere Cookies: Einstellen der Secure Das Flag in Cookies erzwingt die Übertragung über sichere Kanäle (z. B. HTTPS). Sie können auch verhindern, dass clientseitiges JavaScript über das auf Cookies zugreift HttpOnly kennzeichnen und beschränken Sie die standortübergreifende Verwendung von Cookies mit dem SameSite Flagge.
• Code von Drittanbietern bewerten: Stellen Sie sicher, dass Sie die potenziellen Risiken der Verwendung von Bibliotheken von Drittanbietern auf Ihrer Website kennen, z. B. die Möglichkeit, versehentlich Schwachstellen oder bösartigen Code einzuführen. Überprüfen Sie die Vertrauenswürdigkeit von Drittanbietern immer nach besten Kräften und verknüpfen Sie sie mit HTTPS mit dem gesamten Code von Drittanbietern. Stellen Sie schließlich sicher, dass Ihr Nutzen von Elementen Dritter auf Ihrer Website das Risiko wert ist.

Überprüfen Sie Ihre Arbeit mit Diagnosetools

Nach dem Einrichten von SSL /TLS Auf Ihrem Server und Ihrer Website oder bei Konfigurationsänderungen ist es wichtig sicherzustellen, dass alles korrekt eingerichtet und Ihr System sicher ist. Zur Überprüfung des SSL / Ihrer Website stehen zahlreiche Diagnosetools zur Verfügung.TLS. Zum Beispiel SSL Shopper's SSL-Checker Sie werden informiert, ob Ihr Zertifikat korrekt installiert ist, wann es abläuft, und das Zertifikat wird angezeigt Kette des Vertrauens.

Es stehen andere Online-Tools und -Anwendungen zur Verfügung, mit denen Ihre Website nach Sicherheitsproblemen wie gemischten Inhalten durchsucht wird. Sie können auch mit einem Webbrowser nach gemischten Inhalten suchen, indem Sie die integrierten Entwicklertools verwenden:

Unabhängig davon, für welche Tools Sie sich entscheiden, ist es auch wichtig, einen Zeitplan für die Überprüfung Ihres SSL / festzulegen.TLS Installation und Konfiguration. Ihre Zertifizierungsstelle kann Ihnen möglicherweise auch dabei helfen. Als Annehmlichkeit für unsere Kunden bietet SSL.com beispielsweise automatisierte Benachrichtigungen über den bevorstehenden Ablauf des Zertifikats.

Bleiben Sie auf neue Sicherheitslücken aufmerksam

Die Websicherheit ist ein sich ständig bewegendes Ziel, und Sie sollten immer nach dem nächsten Angriff Ausschau halten und umgehend Sicherheitspatches auf Ihrem Server anwenden. Dies bedeutet, zu lesen und in Kontakt zu bleiben, was in Bezug auf Informationssicherheit am Horizont steht, sowie Software-Updates auf dem Laufenden zu halten - insbesondere die kritischen. Die Website von SSL.com (wo Sie dies gerade lesen) ist eine großartige Quelle, um über SSL / auf dem Laufenden zu bleiben.TLS und Informationssicherheit.

Aber was ist mit…?

Wenn Sie mehr über die in diesem Handbuch behandelten Themen erfahren und neue Probleme und Technologien kennenlernen möchten, können Sie zunächst SSL.com durchsuchen Wissensbasis, die wir wöchentlich über neue Entwicklungen im Bereich SSL / auf dem Laufenden halten.TLS und PKI. Sie können sich auch jederzeit per E-Mail an unsere Support-Mitarbeiter wenden Support@SSL.com, am Telefon bei 1-877-SSL-Secureoder indem Sie auf den Chat-Link unten rechts auf dieser Seite klicken.