en English
X

Select Language

Powered by Google TranslateTranslate

We hope you will find the Google translation service helpful, but we don’t promise that Google’s translation will be accurate or complete. You should not rely on Google’s translation. English is the official language of our site.

en English
X

Select Language

Powered by Google TranslateTranslate

We hope you will find the Google translation service helpful, but we don’t promise that Google’s translation will be accurate or complete. You should not rely on Google’s translation. English is the official language of our site.

SSL /TLS Best practices voor 2021

In 2021 beveiligt u uw website met een SSL /TLS certificaat is niet langer optioneel, zelfs voor bedrijven die niet rechtstreeks omgaan met gevoelige klantinformatie op internet. Zoekmachines zoals Google gebruiken sitebeveiliging als een SEO-rangschikkingssignaal, en populaire webbrowsers zoals Chrome waarschuwen gebruikers voor websites die geen HTTPS gebruiken:

Browser die werkt voor een onveilige website

Het vooruitzicht om uw webservers en applicaties in te stellen om de SSL /TLS protocol correct kan ontmoedigend aanvoelen, omdat er veel geheimzinnige configuratie- en ontwerpkeuzes moeten worden gemaakt. Deze handleiding geeft een beknopt overzicht van de belangrijkste punten waarmee u rekening moet houden bij het instellen van SSL /TLS voor uw website, terwijl u zich richt op zowel beveiliging als prestaties. Er is nog veel te doen met alleen de basis, dus we hebben het opgesplitst in een reeks stappen.

Kies een betrouwbare certificeringsinstantie (CA)

Uw certificaten zijn zo betrouwbaar als de CA die ze uitgeeft. Alle publiekelijk vertrouwde CA's worden onderworpen aan strenge audits van derden om hun positie in belangrijke besturingssystemen en rootcertificaatprogramma's van browsers te behouden, maar sommige zijn beter in het behouden van die status dan andere. Zoek naar een CA die (zoals SSL.com):

  • Doet het grootste deel van zijn zaken op het gebied van openbaar vertrouwd PKI. Deze bedrijven hebben het meeste te verliezen als slechte beveiligingspraktijken aan het licht komen, en alles te winnen door gelijke tred te houden met de veranderende industriestandaarden.
  • Reageert efficiënt en effectief op ontdekkingen van kwetsbaarheden die de veiligheid en privacy van gebruikers aantasten, zoals de hele industrie serienummer entropie uitgave van begin 2019. Doorzoek brancheforums zoals mozilla.dev.security.policy kan u een goed idee geven over hoe een bepaalde CA op tegenspoed reageert.
  • Biedt handige producten en diensten, zoals Extended Validation (EV) -certificaten, bulk / geautomatiseerde uitgifte van certificaten via een intuïtieve API van de ACME-protocol, eenvoudig beheer en bewakingsdiensten voor de levenscyclus van certificaten, en mail via voor integratie met een uitgebreide lijst met oplossingen van derden.
  • Heeft een reputatie voor geweldige klantenservice en technische ondersteuning. Het is belangrijk om de website van uw bedrijf 100% van de tijd veilig te houden en u moet een echte expert aan de telefoon kunnen krijgen als er iets misgaat.

Autorisatie van certificeringsinstantie (CAA)

Autorisatie van certificeringsinstantie (CAA) is een standaard om websites te beschermen door specifieke CA's aan te wijzen die certificaten voor een domeinnaam mogen uitgeven. Als u eenmaal een CA heeft gekozen, moet u dit overwegen CAA-records configureren om het te autoriseren.

Genereer en beveilig uw privésleutels

Het SSL /TLS protocol gebruikt een paar sleutels om identiteiten te verifiëren en informatie te versleutelen die via internet is verzonden. Een van deze (de publieke sleutel) is bedoeld voor brede distributie, en de andere (de privé sleutel) moet zo veilig mogelijk worden bewaard. Deze sleutels worden samen gemaakt wanneer u een aanvraag voor certificaatondertekening (CSR). Hier zijn een paar tips om in gedachten te houden met betrekking tot uw privésleutels:

  • Gebruik sterke privésleutels: Grotere sleutels zijn moeilijker te kraken, maar vereisen meer rekenkosten. Momenteel wordt ten minste een 2048-bits RSA-sleutel of 256-bits ECDSA-sleutel aanbevolen, en de meeste websites kunnen een goede beveiliging bereiken en tegelijkertijd de prestaties en gebruikerservaring met deze waarden optimaliseren.
    Opmerking: voor een overzicht van deze twee algoritmen, zie het artikel van SSL.com, Vergelijk ECDSA vs RSA.
  • Bescherm uw privésleutels:
    • Genereer uw eigen privésleutels op een veilige en vertrouwde omgeving (bij voorkeur op de server waar ze worden geïmplementeerd of een apparaat dat voldoet aan FIPS of Common Criteria). nooit sta een CA (of iemand anders) toe om namens u privésleutels te genereren. Een gerenommeerde openbare CA, zoals SSL.com, zal nooit aanbieden om uw privésleutels te genereren of te verwerken, tenzij ze worden gegenereerd in een beveiligde hardwaretoken of HSM en niet kunnen worden geëxporteerd.
    • Geef alleen toegang tot privésleutels als dat nodig is. Genereer nieuwe sleutels en intrekken alle certificaten voor de oude sleutels wanneer medewerkers met private key-toegang het bedrijf verlaten.
    • Vernieuw certificaten zo vaak als praktisch mogelijk is (minstens jaarlijks zou goed zijn), bij voorkeur met elke keer een vers gegenereerde privésleutel. Automatiseringstools zoals de ACME-protocol zijn handig voor het plannen van regelmatige certificaatvernieuwingen.
    • Als een privésleutel is (of mogelijk is) gecompromitteerd, intrekken genereren alle certificaten voor deze sleutel een nieuw sleutelpaar en geven een nieuw certificaat af voor het nieuwe sleutelpaar.

Configureer uw server

Op het oppervlak, een SSL /TLS certificaat lijkt misschien een eenvoudige operatie; er zijn echter nog veel configuratiebeslissingen die moeten worden genomen om ervoor te zorgen dat uw webserver snel en veilig is en dat eindgebruikers een vlotte ervaring hebben zonder browserfouten en waarschuwingen. Hier zijn enkele configuratie-instructies om u op weg te helpen bij het instellen van SSL /TLS op uw servers:

  • Zorg ervoor dat alle hostnamen bedekt zijn: Dekt uw certificaat de domeinnaam van uw site zowel met als zonder de www voorvoegsel? is er een Alternatieve naam voor onderwerp (SAN) voor elke domeinnaam die het certificaat moet beschermen?
  • Installeer complete certificaatketens: Eindentiteit SSL /TLS certificaten worden over het algemeen ondertekend door tussenliggende certificaten in plaats van de root key van een CA. Zorg ervoor dat eventuele tussenliggende certificaten op uw webserver zijn geïnstalleerd om browsers een compleet certificeringspad en vermijd vertrouwenswaarschuwingen en fouten voor eindgebruikers. Uw CA kan u voorzien van alle noodzakelijke tussenproducten; Klanten van SSL.com kunnen onze Tussentijdse certificaatdownload pagina om tussenliggende bundels voor veel serverplatforms op te halen.
  • Gebruik huidige SSL /TLS Protocollen (TLS 1.2 of 1.3): Eind 2018 kondigden alle grote browserleveranciers plannen aan om deze te beëindigen TLS 1.0 en 1.1 tegen de eerste helft van 2020. Google deprecated TLS v1.0 en v1.1 in Chrome 72 (uitgebracht op 30 januari 2919). Chrome-versies 84 (uitgebracht op 14 juli 2020) en hoger geven een interstitial-waarschuwing voor deze protocollen, en ondersteuning zal worden volledig verwijderd in mei 2021. Brede browserondersteuning van eerdere SSL /TLS versies, zoals SSL v3, zijn allang verdwenen. Terwijl TLS 1.2 is momenteel de meest gebruikte versie van de SSL /TLS protocol, TLS 1.3 (de nieuwste versie) is al ondersteund in de huidige versies van de meeste grote webbrowsers.
  • Gebruik een korte lijst met veilige coderingssuites: Kies alleen coderingssuites die ten minste 128-bits codering bieden of, indien mogelijk, sterker. Het National Institute of Standards and Technology (NIST) beveelt dat ook allemaal aan TLS implementaties gaan weg van coderingssuites die de DES-codering (of zijn varianten) bevatten naar degenen die AES gebruiken. Ten slotte minimaliseert het gebruik van slechts een kleine subset van potentieel aanvaardbare coderingssuites het aanvalsoppervlak voor nog niet ontdekte kwetsbaarheden. De bijlage van SSL.com's Gids voor TLS Normen Compliance biedt voorbeeldconfiguraties voor de meest populaire webserverplatforms met TLS 1.2.
    Opmerking: Het gebruik van onveilige, verouderde codes (zoals RC4) kan browserbeveiligingsfouten veroorzaken, zoals ERR_SSL_VERSION_OR_CIPHER_MISMATCH in Google Chrome.
  • Gebruik Forward Secrecy (FS): Ook gekend als perfecte voorwaartse geheimhouding (PFS), FS verzekert dat een gecompromitteerde privésleutel niet ook de eerdere sessiesleutels in gevaar zal brengen. Om FS in te schakelen:
    • Configure TLS 1.2 om het sleuteluitwisselingsalgoritme Elliptic Curve Diffie-Hellman (EDCHE) te gebruiken (met DHE als terugval), en vermijd RSA-sleuteluitwisseling indien mogelijk volledig.
    • Te gebruiken TLS 1.3. TLS 1.3 biedt voorwaarts geheimhouding voor iedereen TLS sessies via de Kortstondige Diffie-Hellman (EDH of DHE) protocol voor sleuteluitwisseling.
  • Enable TLS Hervatting van sessie: Vergelijkbaar met het gebruik van keepalives om persistente TCP-verbindingen te onderhouden, TLS sessie hervatten stelt uw webserver in staat om recent onderhandelde SSL /TLS sessies en hervat ze, waarbij de computationele overhead van sessiesleutelonderhandelingen wordt omzeild.
  • Overweeg OCSP-nieten: OCSP-nieten stelt webservers in staat om gecachte intrekkingsinformatie rechtstreeks aan de client af te leveren, wat betekent dat een browser geen verbinding hoeft te maken met een OCSP-server om te controleren of het certificaat van een website is ingetrokken. Door dit verzoek weg te nemen, biedt OCSP-nieten een echte prestatieverbetering. Lees ons artikel voor meer informatie, Optimalisatie van pagina laden: OCSP-nieten.

Gebruik best practices voor het ontwerpen van webapplicaties

Het ontwerpen van uw webapplicaties met het oog op veiligheid is net zo belangrijk als het correct configureren van uw server. Dit zijn de belangrijkste punten om ervoor te zorgen dat uw gebruikers niet worden blootgesteld aan man in the middle aanvallen, en dat uw applicatie de SEO-voordelen krijgt die gepaard gaan met goede beveiligingspraktijken:

  • Verwijder gemengde inhoud: JavaScript-bestanden, afbeeldingen en CSS-bestanden zouden moeten allen toegankelijk zijn met SSL /TLS. Zoals uiteengezet in het artikel van SSL.com, HTTPS Everywhere, serveren gemengde inhoud is niet langer een acceptabele manier om de websiteprestaties te verbeteren en kan leiden tot browserbeveiligingswaarschuwingen en SEO-problemen.
  • Gebruik beveiligde cookies: Het instellen van Secure vlag in cookies zorgt voor verzending via beveiligde kanalen (bijv. HTTPS). U kunt ook voorkomen dat JavaScript aan de clientzijde toegang krijgt tot cookies via de HttpOnly markeren en cross-site gebruik van cookies beperken met de SameSite vlag.
  • Evalueer code van derden: Zorg ervoor dat u de mogelijke risico's begrijpt van het gebruik van bibliotheken van derden op uw website, zoals de mogelijkheid dat u per ongeluk kwetsbaarheden of schadelijke code introduceert. Onderzoek de betrouwbaarheid van derden altijd zo goed mogelijk en koppel met HTTPS naar alle code van derden. Zorg er ten slotte voor dat uw voordeel van elementen van derden op uw website het risico waard is.

Controleer uw werk met diagnostische hulpmiddelen

Na het instellen van SSL /TLS op uw server en website of als u configuratiewijzigingen aanbrengt, is het belangrijk om ervoor te zorgen dat alles correct is ingesteld en dat uw systeem veilig is. Er zijn tal van diagnostische tools beschikbaar om de SSL /TLS. Bijvoorbeeld SSL Shopper's SSL-checker zal u laten weten of uw certificaat correct is geïnstalleerd, wanneer het verloopt, en zal de certificaten weergeven keten van vertrouwen.

Er zijn andere online tools en applicaties beschikbaar die uw site crawlen en controleren op beveiligingsproblemen zoals gemengde inhoud. U kunt ook controleren op gemengde inhoud met een webbrowser met behulp van de ingebouwde tools voor ontwikkelaars:

waarschuwing voor gemengde inhoud
Waarschuwing voor gemengde inhoud in de Chrome-console

Welke tools u ook kiest, het is ook belangrijk om een ​​schema op te stellen voor het controleren van uw SSL /TLS installatie en configuratie. Uw CA kan u hierbij wellicht ook helpen; Bijvoorbeeld, voor het gemak voor onze klanten, biedt SSL.com geautomatiseerde kennisgevingen van de naderende vervaldatum van certificaten.

Blijf alert voor nieuwe kwetsbaarheden

Webbeveiliging is een constant bewegend doelwit en u moet altijd uitkijken naar de volgende aanval en onmiddellijk beveiligingspatches op uw server toepassen. Dit betekent lezen en in contact blijven met wat er aan de horizon komt als het gaat om informatiebeveiliging, evenals het bijhouden van software-updates - vooral de kritieke. SSL.com's website (waar u dit nu leest) is een geweldige bron om op de hoogte te blijven van SSL /TLS en informatiebeveiliging.

Maar hoe zit het met…?

Als u meer wilt weten over een van de onderwerpen die in deze handleiding worden behandeld en meer wilt weten over nieuwe problemen en technologieën wanneer deze zich voordoen, kunt u beginnen door te bladeren en te zoeken in SSL.com's Kennis basis, die we wekelijks op de hoogte houden van nieuwe ontwikkelingen op het gebied van SSL /TLS als PKI. U kunt ook altijd contact opnemen met onze ondersteuningsmedewerkers via e-mail op Support@SSL.com, aan de telefoon op 1-877-SSL-Secure, of door op de chatlink rechtsonder op deze pagina te klikken.

SSL.com biedt een breed scala aan SSL /TLS server certificaten voor HTTPS-websites.

VERGELIJK SSL /TLS CERTIFICATEN

Delen op Twitter
Twitter
Delen op Facebook
Facebook
Delen op LinkedIn
LinkedIn
Share on reddit
Reddit
Deel via e-mail
E-mail