en English
X

Select Language

Powered by Google TranslateTranslate

We hope you will find the Google translation service helpful, but we don’t promise that Google’s translation will be accurate or complete. You should not rely on Google’s translation. English is the official language of our site.

en English
X

Select Language

Powered by Google TranslateTranslate

We hope you will find the Google translation service helpful, but we don’t promise that Google’s translation will be accurate or complete. You should not rely on Google’s translation. English is the official language of our site.

SSL /TLS Best practice per il 2021

Nel 2021, proteggere il tuo sito web con un SSL /TLS il certificato non è più facoltativo, anche per le aziende che non trattano direttamente le informazioni sensibili dei clienti sul Web. I motori di ricerca come Google utilizzano la sicurezza del sito come segnale di posizionamento SEO e browser Web popolari come Chrome avvisano gli utenti di siti Web che non utilizzano HTTPS:

Browser funzionante per siti Web non sicuri

Tuttavia, la prospettiva di configurare i server Web e le applicazioni per utilizzare SSL /TLS protocollo correttamente può sembrare scoraggiante, poiché ci sono molte configurazioni arcane e scelte di progettazione da fare. Questa guida fornisce una rapida panoramica dei punti principali da tenere a mente quando si configura SSL /TLS per il tuo sito web, concentrandoti su sicurezza e prestazioni. C'è ancora molto da coprire solo con le basi, quindi lo abbiamo suddiviso in una serie di passaggi.

Scegli un'autorità di certificazione affidabile (CA)

I tuoi certificati sono affidabili quanto la CA che li emette. Tutte le CA pubblicamente attendibili sono soggette a rigorosi controlli di terze parti per mantenere la loro posizione nei principali programmi di certificati root del sistema operativo e del browser, ma alcuni sono più bravi a mantenere quello stato rispetto ad altri. Cerca una CA che (come SSL.com):

  • Svolge la maggior parte dei suoi affari nel campo dei servizi di fiducia PKI. Queste aziende hanno più da perdere se vengono alla luce cattive pratiche di sicurezza e tutto da guadagnare mantenendo il passo con l'evoluzione degli standard del settore.
  • Risponde in modo efficiente ed efficace alle scoperte di vulnerabilità che interessano la sicurezza e la privacy degli utenti, come nel settore entropia del numero di serie numero di inizio 2019. Ricerca nei forum del settore come politica.di.sicurezza.mozilla.dev può darti una buona idea di come una particolare CA reagisce alle avversità.
  • Offre prodotti e servizi utili, come certificati EV (Extended Validation), emissione di certificati in blocco / automatizzata tramite un intuitivo API oppure Protocollo ACME, semplici servizi di monitoraggio e gestione del ciclo di vita dei certificati e l' assistenza di per l'integrazione con un ampio elenco di soluzioni di terze parti.
  • Ha una reputazione per l'ottimo servizio clienti e supporto tecnico. Mantenere il sito web della tua azienda sicuro il 100% delle volte è importante e devi essere in grado di avere un vero esperto al telefono quando le cose vanno male.

Autorizzazione dell'autorità di certificazione (CAA)

Autorizzazione dell'autorità di certificazione (CAA) è uno standard per proteggere i siti Web designando CA specifiche autorizzate a emettere certificati per un nome di dominio. Dopo aver scelto una CA, dovresti prendere in considerazione configurazione dei record CAA per autorizzarlo.

Genera e proteggi le tue chiavi private

SSL /TLS protocollo utilizza un coppia di chiavi per autenticare le identità e crittografare le informazioni inviate su Internet. Uno di questi (il Chiave pubblica) è inteso per un'ampia distribuzione e l'altro (il chiave privata) dovrebbe essere mantenuto nel modo più sicuro possibile. Queste chiavi vengono create insieme quando si genera un richiesta di firma del certificato (CSR). Ecco alcuni suggerimenti da tenere a mente riguardo alle tue chiavi private:

  • Usa chiavi private forti: I tasti più grandi sono più difficili da decifrare, ma richiedono un sovraccarico di elaborazione. Attualmente, si consiglia almeno una chiave RSA a 2048 bit o una chiave ECDSA a 256 bit e la maggior parte dei siti Web può raggiungere una buona sicurezza ottimizzando le prestazioni e l'esperienza utente con questi valori.
    Nota: per una panoramica di questi due algoritmi, consultare l'articolo di SSL.com, Confronto tra ECDSA e RSA.
  • Proteggi le tue chiavi private:
    • Genera le tue chiavi private in un ambiente sicuro e affidabile (preferibilmente sul server in cui verranno distribuite o su un dispositivo conforme a FIPS o Common Criteria). Mai consentire a una CA (oa chiunque altro) di generare chiavi private per tuo conto. Una CA pubblica affidabile, come SSL.com, non si offrirà mai di generare o gestire le tue chiavi private a meno che non siano generate in un token hardware sicuro o HSM e non siano esportabili.
    • Dare accesso alle chiavi private solo se necessario. Genera nuove chiavi e revocare tutti i certificati per le vecchie chiavi quando i dipendenti con accesso alla chiave privata lasciano l'azienda.
    • Rinnova i certificati il ​​più spesso possibile (almeno una volta all'anno sarebbe utile), preferibilmente utilizzando ogni volta una chiave privata appena generata. Strumenti di automazione come Protocollo ACME sono utili per programmare rinnovi frequenti dei certificati.
    • Se una chiave privata è stata (o potrebbe essere stata) compromessa, revocare tutti i certificati per questa chiave, generano una nuova coppia di chiavi ed emettono un nuovo certificato per la nuova coppia di chiavi.

Configura il tuo server

In superficie, installazione di un SSL /TLS a livello internazionale può sembrare un'operazione semplice; tuttavia, ci sono ancora molte molte decisioni di configurazione che devono essere prese per garantire che il tuo server web sia veloce e sicuro e che gli utenti finali abbiano un'esperienza fluida, priva di errori e avvisi del browser. Di seguito sono riportati alcuni suggerimenti di configurazione per aiutarti a tenere il passo durante la configurazione di SSL /TLS sui tuoi server:

  • Assicurati che tutti i nomi host siano coperti: Il tuo certificato copre il nome di dominio del tuo sito sia con che senza l'estensione www prefisso? C'è un Nome alternativo soggetto (SAN) per ogni nome di dominio che il certificato intende proteggere?
  • Installa catene di certificati complete: SSL entità finale /TLS i certificati sono generalmente firmati da certificati intermedi piuttosto che dalla chiave radice di una CA. Assicurati che tutti i certificati intermedi siano installati sul tuo server web per fornire ai browser un file percorso di certificazione ed evitare avvisi ed errori relativi all'affidabilità per gli utenti finali. La tua CA sarà in grado di fornirti qualsiasi intermediario necessario; I clienti di SSL.com possono utilizzare il nostro Download certificato intermedio pagina per recuperare bundle intermedi per molte piattaforme server.
  • Usa SSL corrente /TLS Protocolli (TLS 1.2 o 1.3): Alla fine del 2018, tutti i principali fornitori di browser hanno annunciato piani di deprezzamento TLS 1.0 e 1.1 entro la prima metà del 2020. Google deprecato TLS v1.0 e v1.1 in Chrome 72 (rilasciato il 30 gennaio 2919). Le versioni di Chrome 84 (rilasciate il 14 luglio 2020) e successive presentano un avviso interstitial per questi protocolli e il supporto sarà completamente rimosso nel maggio 2021. Supporto browser diffuso per SSL /TLS versioni, come SSL v3, è ormai lontana. Mentre TLS 1.2 è attualmente la versione più utilizzata di SSL /TLS protocollo, TLS 1.3 (l'ultima versione) è già supportato nelle versioni attuali della maggior parte dei browser Web.
  • Utilizzare un breve elenco di Secure Cipher Suites: Scegli solo le suite di crittografia che offrono una crittografia di almeno 128 bit o più potenti quando possibile. Anche il National Institute of Standards and Technology (NIST) raccomanda questo TLS le implementazioni si spostano dalle suite di cifratura contenenti il ​​codice DES (o le sue varianti) a quelle che utilizzano AES. Infine, l'utilizzo solo di un piccolo sottoinsieme di suite di cifratura potenzialmente accettabili riduce al minimo la superficie di attacco per le vulnerabilità non ancora scoperte. L'appendice di SSL.com Guida alla TLS Conformità alle norme fornisce configurazioni di esempio per le piattaforme web server più popolari, utilizzando TLS 1.2
    Nota: L'uso di cifre non sicure e deprecate (come RC4) può causare errori di sicurezza del browser, come ERR_SSL_VERSION_OR_CIPHER_MISMATCH in Google Chrome.
  • Usa il segreto d'ufficio (FS): Conosciuto anche come perfetto segreto in avanti (PFS), FS assicura che una chiave privata compromessa non comprometterà anche le chiavi di sessione passate. Per abilitare FS:
    • Configurazione TLS 1.2 per utilizzare l'algoritmo di scambio di chiavi Elliptic Curve Diffie-Hellman (EDCHE) (con DHE come fallback) ed evitare completamente lo scambio di chiavi RSA, se possibile.
    • Utilizza TLS 1.3. TLS 1.3 fornisce segretezza anticipata per tutti TLS sessioni tramite il Effimero Diffie-Hellman (EDH o DHE) protocollo di scambio chiavi.
  • permettere TLS Ripresa della sessione: Analogamente all'utilizzo di keepalives per mantenere connessioni TCP persistenti, TLS la ripresa della sessione consente al tuo server web di tenere traccia degli SSL /TLS sessioni e riprenderle, ignorando l'overhead computazionale della negoziazione delle chiavi di sessione.
  • Considera la cucitura OCSP: Pinzatura OCSP consente ai server Web di fornire le informazioni di revoca memorizzate nella cache direttamente al client, il che significa che un browser non dovrà contattare un server OCSP per verificare se il certificato di un sito Web è stato revocato. Eliminando questa richiesta, la pinzatura OCSP offre un reale incremento delle prestazioni. Per ulteriori informazioni, leggi il nostro articolo, Ottimizzazione del caricamento della pagina: pinzatura OCSP.

Utilizzare le migliori pratiche per la progettazione di applicazioni Web

Progettare le tue applicazioni web tenendo conto della sicurezza è importante tanto quanto configurare correttamente il tuo server. Questi sono i punti più importanti per assicurarti che i tuoi utenti non siano esposti uomo al centro attacchi e che la tua applicazione ottenga i vantaggi SEO che derivano da buone pratiche di sicurezza:

  • Elimina contenuto misto: I file JavaScript, le immagini e i file CSS dovrebbero per tutti i nostri marchi storici accessibile con SSL /TLS. Come descritto nell'articolo di SSL.com, HTTPS Everywhere, servendo contenuto misto non è più un modo accettabile per migliorare le prestazioni del sito Web e può comportare avvisi di sicurezza del browser e problemi SEO.
  • Usa cookie sicuri: Impostazione del Secure flag nei cookie imporrà la trasmissione su canali sicuri (ad es. HTTPS). Puoi anche impedire a JavaScript lato client di accedere ai cookie tramite HttpOnly contrassegnare e limitare l'uso di cookie tra siti con il SameSite bandiera.
  • Valuta il codice di terze parti: Assicurati di comprendere i potenziali rischi dell'utilizzo di librerie di terze parti nel tuo sito web, come la possibilità di introdurre inavvertitamente vulnerabilità o codice dannoso. Controlla sempre l'affidabilità di terze parti al meglio delle tue capacità e collega a tutto il codice di terze parti con HTTPS. Infine, assicurati che il tuo vantaggio da qualsiasi elemento di terze parti sul tuo sito web valga il rischio.

Controlla il tuo lavoro con gli strumenti diagnostici

Dopo aver configurato SSL /TLS sul tuo server e sito web o apportando modifiche alla configurazione, è importante assicurarsi che tutto sia impostato correttamente e che il tuo sistema sia sicuro. Sono disponibili numerosi strumenti diagnostici per controllare l'SSL /TLS. Ad esempio, SSL Shopper's Controllo SSL ti farà sapere se il tuo certificato è installato correttamente, quando scadrà e mostrerà il certificato catena di fiducia.

Sono disponibili altri strumenti e applicazioni online che eseguiranno la scansione del tuo sito verificando problemi di sicurezza come contenuto misto. Puoi anche verificare la presenza di contenuti misti con un browser Web utilizzando i suoi strumenti di sviluppo integrati:

avviso di contenuto misto
Avviso contenuto misto nella console di Chrome

Qualunque strumento tu scelga, è anche importante impostare una pianificazione per il controllo del tuo SSL /TLS installazione e configurazione. La tua CA potrebbe anche essere in grado di aiutarti in questo; ad esempio, per comodità dei nostri clienti, SSL.com fornisce avvisi automatici di imminente scadenza del certificato.

Stai attento alle nuove vulnerabilità

La sicurezza Web è un obiettivo in costante movimento e dovresti sempre essere alla ricerca del prossimo attacco e applicare prontamente le patch di sicurezza sul tuo server. Ciò significa leggere e rimanere in contatto con ciò che c'è all'orizzonte quando si tratta di sicurezza delle informazioni, oltre a tenersi aggiornati sugli aggiornamenti software, soprattutto quelli critici. Sito Web di SSL.com (dove stai leggendo questo in questo momento) è un'ottima fonte per rimanere aggiornato su SSL /TLS e sicurezza delle informazioni.

Ma per quanto riguarda…?

Se desideri saperne di più su uno qualsiasi degli argomenti trattati in questa guida e conoscere nuovi problemi e tecnologie man mano che si presentano, puoi iniziare navigando e cercando su SSL.com Knowledgebase, che teniamo aggiornato settimanalmente con i nuovi sviluppi nel campo di SSL /TLS e PKI. Puoi anche sentirti libero di contattare il nostro staff di supporto in qualsiasi momento via e-mail all'indirizzo Support@SSL.com, al telefono al 1-877-SSL-Secureo facendo clic sul collegamento della chat in basso a destra in questa pagina.

SSL.com fornisce un'ampia varietà di file SSL /TLS certificati del server per i siti Web HTTPS.

CONFRONTA SSL /TLS CERTIFICATI

Condividi su twitter
Twitter
Condividi su Facebook
Facebook
Condividi su linkedin
LinkedIn
Condividi su reddit
Reddit
Condividi via email
E-mail