SSL /TLS Beste praksis for 2021

I 2021, sikre nettstedet ditt med en SSL /TLS sertifikat er ikke lenger valgfritt, selv for bedrifter som ikke håndterer sensitiv kundeinformasjon på nettet direkte. Søkemotorer som Google bruker nettstedssikkerhet som et SEO-rangeringssignal, og populære nettlesere som Chrome varsler brukere om nettsteder som ikke bruker HTTPS:

Utsiktene til å konfigurere webservere og applikasjoner for å bruke SSL /TLS protokollen riktig kan føles skremmende, da det er mange arkane konfigurasjons- og designvalg å gjøre. Denne guiden gir en rask oversikt over hovedpoengene du må huske på når du setter opp SSL /TLS for nettstedet ditt, mens du fokuserer på både sikkerhet og ytelse. Det er fortsatt mye å dekke med bare det grunnleggende, så vi har delt det opp i en serie trinn.

Velg en pålitelig sertifikatmyndighet (CA)

Sertifikatene dine er bare like pålitelige som CA som utsteder dem. Alle offentlig pålitelige CA-er er underlagt strenge tredjepartsrevisjoner for å opprettholde sin posisjon i store operativsystem- og nettlesersertifikatprogrammer, men noen er bedre til å opprettholde den statusen enn andre. Se etter en CA som (som SSL.com):

• Gjør det meste av sin virksomhet innen offentlig tillit PKI. Disse virksomhetene har mest å tape hvis dårlig sikkerhetspraksis kommer fram, og alt å tjene ved å følge med utviklende industristandarder.
• Reagerer effektivt og effektivt på sårbarhetsfunn som påvirker brukersikkerhet og personvern, for eksempel industrien serienummer entropi utgave av begynnelsen av 2019. Søker i bransjeforum som mozilla.dev.sikkerhet.policy kan gi deg en god ide om hvordan en bestemt CA reagerer på motgang.
• Tilbyr nyttige produkter og tjenester, for eksempel utvidet validering (EV) sertifikater, bulk / automatisert sertifikatutstedelse via en intuitiv API eller ACME-protokoll, enkle sertifikat livssyklusadministrasjons- og overvåkingstjenester, og støtte for integrering med en omfattende liste over tredjepartsløsninger.
• Har et rykte for god kundeservice og teknisk support. Det er viktig å holde selskapets nettside 100% av tiden, og du må kunne få en ekte ekspert på telefonen når ting går galt.

Autorisasjon av sertifikatutsteder (CAA)

Autorisasjon av sertifikatutsteder (CAA) er en standard for å beskytte nettsteder ved å utpeke spesifikke CA-er som har lov til å utstede sertifikater for et domenenavn. Når du har valgt en CA, bør du vurdere konfigurere CAA-poster å autorisere det.

Generer og sikr dine private nøkler

De SSL /TLS protokollen bruker a par nøkler for å autentisere identiteter og kryptere informasjon sendt over Internett. En av disse (the offentlig nøkkel) er beregnet for bred distribusjon, og den andre (den privat nøkkel) bør holdes så sikkert som mulig. Disse tastene opprettes sammen når du genererer en sertifikatsigneringsforespørsel (CSR). Her er noen tips du må huske på når det gjelder private nøkler:

• Bruk sterke private nøkler: Større taster er vanskeligere å sprekke, men krever mer databehandlingskostnader. For øyeblikket anbefales minst en 2048-biters RSA-nøkkel eller 256-biters ECDSA-nøkkel, og de fleste nettsteder kan oppnå god sikkerhet mens de optimaliserer ytelsen og brukeropplevelsen med disse verdiene.
  
  OBS: for en oversikt over disse to algoritmene, se SSL.coms artikkel, Sammenligning av ECDSA vs RSA.
• Beskytt dine private nøkler:
  • Generer dine egne private nøkler på et sikkert og pålitelig miljø (helst på serveren der de vil bli distribuert eller en FIPS- eller Common Criteria-kompatibel enhet). aldri la en CA (eller noen andre) generere private nøkler på dine vegne. En anerkjent offentlig CA, som SSL.com, vil aldri tilby å generere eller håndtere dine private nøkler med mindre de genereres i et sikkert maskinvaretoken eller HSM og ikke kan eksporteres.
  • Gi bare tilgang til private nøkler etter behov. Generer nye nøkler og tilbakekalle alle sertifikater for de gamle nøklene når ansatte med tilgang til privat nøkkel forlater selskapet.
  • Forny sertifikater så ofte som praktisk mulig (minst hvert år ville være bra), helst ved å bruke en nygenerert privat nøkkel hver gang. Automatiseringsverktøy som ACME-protokoll er nyttige for planlegging av hyppige sertifikatfornyelser.
  • Hvis en privat nøkkel er blitt kompromittert, tilbakekalle alle sertifikatene for denne nøkkelen, generer et nytt nøkkelpar og utsted et nytt sertifikat for det nye nøkkelparet.

Konfigurer serveren din

På overflaten, installere en SSL /TLS sertifikat kan virke som en grei operasjon; Det er imidlertid fortsatt mange mange konfigurasjonsbeslutninger som må tas for å sikre at webserveren din er rask og sikker, og at sluttbrukere har en jevn opplevelse som er fri for nettleserfeil og advarsler. Her er noen konfigurasjonspekere som hjelper deg med å komme deg på sporet når du setter opp SSL /TLS på serverne dine:

• Forsikre deg om at alle vertsnavn er dekket: Dekker sertifikatet nettstedets domenenavn både med og uten www prefiks? er det en Fagalternativnavn (SAN) for hvert domenenavn sertifikatet er ment å beskytte?
• Installer komplette sertifikatkjeder: Slutt-enhet SSL /TLS sertifikater er vanligvis signert av mellomliggende sertifikater i stedet for en CAs rotnøkkel. Sørg for at eventuelle mellomsertifikater er installert på webserveren din for å gi nettlesere en komplett sertifiseringsvei og unngå tillitsadvarsler og feil for sluttbrukere. CAen din vil kunne gi deg nødvendige mellomprodukter; SSL.coms kunder kan bruke våre Nedlasting av mellomliggende sertifikat side for å hente mellomliggende pakker for mange serverplattformer.
• Bruk gjeldende SSL /TLS Protokoller (TLS 1.2 eller 1.3): På slutten av 2018 kunngjorde alle større nettleser leverandører planer om å bli utskrevet TLS 1.0 og 1.1 innen første halvdel av 2020. Google foreldet TLS v1.0 og v1.1 i Chrome 72 (utgitt 30. januar 2919). Chrome-versjoner 84 (utgitt 14. juli 2020) og over presenterer en interstitiell advarsel for disse protokollene, og støtten vil være helt fjernet i mai 2021. Utbredt nettleserstøtte av tidligere SSL /TLS versjoner, for eksempel SSL v3, er borte. Samtidig som TLS 1.2 er for tiden den mest brukte versjonen av SSL /TLS protokollen, TLS 1.3 (den nyeste versjonen) er allerede støttet i de gjeldende versjonene av de fleste større nettlesere.
• Bruk en kort liste over Secure Cipher Suites: Velg bare chiffer-suiter som tilbyr minst 128-bits kryptering, eller sterkere når det er mulig. Nasjonalt institutt for standarder og teknologi (NIST) anbefaler også at alle TLS implementeringer beveger seg bort fra krypteringssuiter som inneholder DES-kryptering (eller dens varianter) til de som bruker AES. Til slutt, ved å bruke bare en liten delmengde av potensielt akseptable krypteringssuiter, minimeres angrepsoverflaten for uoppdagede sårbarheter. Vedlegget til SSL.com Veiledning til TLS Standards Compliance gir eksempelkonfigurasjoner for de mest populære webserverplattformene ved bruk av TLS 1.2.
  
  OBS: Hvis du bruker usikre, kan utdaterte sifre (for eksempel RC4) forårsake sikkerhetsfeil i nettleseren, som ERR_SSL_VERSION_OR_CIPHER_MISMATCH i Google Chrome.
• Bruk fremoverhemmelighet (FS): Også kjent som perfekt fremtidshemmelighet (PFS), FS forsikrer at en kompromittert privat nøkkel ikke også vil kompromittere tidligere sesjonsnøkler. Slik aktiverer FS:
  • Konfigurer TLS 1.2 for å bruke den Elliptic Curve Diffie-Hellman (EDCHE) nøkkelutvekslingsalgoritmen (med DHE som et tilbakeblikk), og unngå RSA nøkkelutveksling fullstendig hvis mulig.
  • Bruk TLS 1.3. TLS 1.3 gir taushetsplikt for alle TLS økter via the Ephemeral Diffie-Hellman (EDH eller DHE) nøkkelutvekslingsprotokoll.
• aktiver TLS Sesjons gjenopptak: På samme måte som å bruke keepalives for å opprettholde vedvarende TCP-tilkoblinger, TLS økt gjenopptakelse gjør at webserveren din kan holde oversikt over nylig forhandlet SSL /TLS økter og gjenoppta dem, ved å omgå den beregningsmessige kostnaden for forhandlinger om økten.
• Vurder OCSP stifting: OCSP-stifting tillater webservere å levere hurtigbufret tilbakekallingsinformasjon direkte til klienten, noe som betyr at en nettleser ikke trenger å kontakte en OCSP-server for å kontrollere om sertifikatet til et nettsted er tilbakekalt. Ved å eliminere denne forespørselen, tilbyr OCSP-stifting et reelt ytelsesløft. For mer informasjon, vennligst les vår artikkel, Optimalisering av sidebelastning: OCSP-stifting.

Bruk beste praksis for design av webapplikasjoner

Å designe webapplikasjonene dine med sikkerhet er like viktig som å konfigurere serveren riktig. Dette er de viktigste punktene for å sikre at brukerne ikke blir utsatt for Mannen i midten angrep, og at søknaden din får SEO-fordelene som følger med god sikkerhetspraksis:

• Fjern blandet innhold: JavaScript-filer, bilder og CSS-filer skal alle få tilgang til med SSL /TLS. Som beskrevet i SSL.coms artikkel, HTTPS Everywhere, servering blandet innhold er ikke lenger en akseptabel måte å øke nettstedets ytelse, og kan resultere i nettleserens advarsler og SEO-problemer.
• Bruk sikre informasjonskapsler: Innstilling av Secure flagg i informasjonskapsler vil håndheve overføring over sikre kanaler (f.eks. HTTPS). Du kan også forhindre JavaScript på klientsiden fra å få tilgang til informasjonskapsler via HttpOnly flagg, og begrense bruk av cookies på tvers av nettstedet med SameSite flagg.
• Evaluer tredjepartskode: Forsikre deg om at du forstår de potensielle risikoene ved bruk av tredjepartsbiblioteker på nettstedet ditt, for eksempel muligheten for utilsiktet å innføre sårbarheter eller ondsinnet kode. Alltid veterinær pålitelighet fra tredjepart etter beste evne og lenke til all tredjepartskode med HTTPS. Til slutt må du sørge for at fordelen din fra tredjepartselementer på nettstedet ditt er verdt risikoen.

Kontroller arbeidet ditt med diagnoseverktøy

Etter å ha satt opp SSL /TLS på serveren din og nettstedet ditt eller foretar konfigurasjonsendringer, er det viktig å sørge for at alt er riktig konfigurert og systemet ditt er sikkert. Mange diagnostiske verktøy er tilgjengelige for å sjekke nettstedets SSL /TLS. For eksempel SSL Shoppers SSL-kontroller vil fortelle deg om sertifikatet ditt er riktig installert, når det utløper, og viser sertifikatets kjede av tillit.

Andre online verktøy og applikasjoner er tilgjengelige som vil gjennomsøke nettstedet ditt for å se etter sikkerhetsproblemer som blandet innhold. Du kan også se etter blandet innhold med en nettleser ved å bruke det innebygde utviklerverktøyet:

Uansett verktøy du velger, er det også viktig å sette en tidsplan for å sjekke SSL /TLS installasjon og konfigurasjon. CA kan også være i stand til å hjelpe deg med dette; For eksempel, som en bekvemmelighet for våre kunder, gir SSL.com automatiske varsler om forestående sertifikatutløp.

Hold varsel om nye sårbarheter

Nettsikkerhet er et mål som stadig beveger seg, og du bør alltid være på utkikk etter neste angrep og raskt bruke sikkerhetsoppdateringer på serveren din. Dette betyr å lese og holde kontakten med det som er i horisonten når det gjelder informasjonssikkerhet, samt holde oversikt over programvareoppdateringer - spesielt de kritiske. SSL.coms nettsted (der du leser dette akkurat nå) er en flott kilde for å holde deg oppdatert på SSL /TLS og informasjonssikkerhet.

Men hva med…?

Hvis du vil vite mer om noen av emnene som dekkes i denne veiledningen og lære om nye problemer og teknologier når de oppstår, kan du starte med å bla gjennom og søke i SSL.com Kunnskapsbase, som vi holder oss oppdatert hver uke med ny utvikling innen SSL /TLS og PKI. Du kan også gjerne kontakte vår supportpersonell når som helst via e-post på Support@SSL.com, på telefonen kl 1-877-SSL-Secure, eller ved å klikke chat-lenken nederst til høyre på denne siden.