en English
X

Select Language

Powered by Google TranslateTranslate

We hope you will find the Google translation service helpful, but we don’t promise that Google’s translation will be accurate or complete. You should not rely on Google’s translation. English is the official language of our site.

en English
X

Select Language

Powered by Google TranslateTranslate

We hope you will find the Google translation service helpful, but we don’t promise that Google’s translation will be accurate or complete. You should not rely on Google’s translation. English is the official language of our site.

SSL /TLS Najlepsze praktyki na rok 2021

W 2021 r. Zabezpieczanie Twojej witryny SSL /TLS certyfikat nie jest już opcjonalny, nawet dla firm, które nie mają bezpośredniego kontaktu z poufnymi informacjami o klientach w sieci. Wyszukiwarki, takie jak Google, wykorzystują bezpieczeństwo witryny jako sygnał rankingowy SEO, a popularne przeglądarki internetowe, takie jak Chrome, ostrzegają użytkowników przed witrynami, które nie używają protokołu HTTPS:

Przeglądarka działająca na niezabezpieczonej stronie

Jednak perspektywa skonfigurowania serwerów internetowych i aplikacji do korzystania z SSL /TLS prawidłowy protokół może wydawać się onieśmielający, ponieważ istnieje wiele tajemnych konfiguracji i wyborów projektowych. Ten przewodnik zawiera krótkie omówienie głównych punktów, o których należy pamiętać podczas konfigurowania SSL /TLS dla Twojej witryny, koncentrując się zarówno na bezpieczeństwie, jak i wydajności. Wciąż jest wiele do omówienia tylko z podstawami, więc podzieliliśmy to na serię kroków.

Wybierz wiarygodny urząd certyfikacji (CA)

Twoje certyfikaty są tak godne zaufania, jak wydający je urząd certyfikacji. Wszystkie publicznie zaufane urzędy certyfikacji podlegają rygorystycznym audytom zewnętrznym, aby utrzymać swoją pozycję w głównych systemach operacyjnych i programach certyfikatów głównych przeglądarek, ale niektóre z nich radzą sobie lepiej niż inne. Poszukaj urzędu certyfikacji, który (np SSL.com):

  • Prowadzi większość swojej działalności w obszarze publicznego zaufania PKI. Firmy te mają najwięcej do stracenia, jeśli wyjdą na jaw złe praktyki bezpieczeństwa i wszystko, co można zyskać, nadążając za zmieniającymi się standardami branżowymi.
  • Reaguje wydajnie i skutecznie na wykrycia luk w zabezpieczeniach wpływających na bezpieczeństwo i prywatność użytkowników, na przykład w branży entropia numeru seryjnego numer z początku 2019 r. Przeszukiwanie forów branżowych takich jak polityka.zabezpieczeń.mozilla.dev. może dać ci dobry pomysł na to, jak dany urząd certyfikacji reaguje na przeciwności losu.
  • Oferuje przydatne produkty i usługi, takie jak certyfikaty Extended Validation (EV), masowe / automatyczne wystawianie certyfikatów w sposób intuicyjny API albo Protokół ACME, łatwe zarządzanie cyklem życia certyfikatów i usługi monitorowania oraz wsparcie do integracji z obszerną listą rozwiązań innych firm.
  • Ma reputację doskonałej obsługi klienta i wsparcia technicznego. Dbanie o bezpieczeństwo witryny firmy w 100% jest ważne, a gdy coś pójdzie nie tak, musisz mieć możliwość skontaktowania się z prawdziwym ekspertem przez telefon.

Autoryzacja urzędu certyfikacji (CAA)

Autoryzacja urzędu certyfikacji (CAA) to standard ochrony witryn internetowych poprzez wyznaczenie określonych urzędów certyfikacji, które mogą wydawać certyfikaty dla nazwy domeny. Po wybraniu urzędu certyfikacji należy rozważyć konfigurowanie rekordów CAA autoryzować to.

Generuj i zabezpieczaj swoje klucze prywatne

W ramach projektu SSL /TLS protokół używa a para kluczy do uwierzytelniania tożsamości i szyfrowania informacji przesyłanych przez Internet. Jeden z nich ( klucz publiczny) jest przeznaczony do szerokiej dystrybucji, a drugi ( prywatny klucz) należy przechowywać tak bezpiecznie, jak to możliwe. Te klucze są tworzone razem podczas generowania żądanie podpisania certyfikatu (CSR). Oto kilka wskazówek dotyczących kluczy prywatnych:

  • Użyj silnych kluczy prywatnych: Większe klucze są trudniejsze do złamania, ale wymagają większego nakładu pracy. Obecnie zalecany jest co najmniej 2048-bitowy klucz RSA lub 256-bitowy klucz ECDSA, a większość stron internetowych może osiągnąć dobre bezpieczeństwo przy jednoczesnej optymalizacji wydajności i wrażeń użytkownika z tymi wartościami.
    Uwaga: Omówienie tych dwóch algorytmów można znaleźć w artykule SSL.com, Porównanie ECDSA z RSA.
  • Chroń swoje klucze prywatne:
    • Generuj własne klucze prywatne w bezpiecznym i zaufanym środowisku (najlepiej na serwerze, na którym zostaną wdrożone lub na urządzeniu zgodnym ze standardem FIPS lub Common Criteria). Nigdy zezwól CA (lub komukolwiek innemu) na generowanie kluczy prywatnych w Twoim imieniu. Renomowany publiczny urząd certyfikacji, taki jak SSL.com, nigdy nie zaoferuje wygenerowania lub obsługi kluczy prywatnych, chyba że zostały one wygenerowane w bezpiecznym tokenie sprzętowym lub HSM i nie można ich eksportować.
    • Udzielaj dostępu do kluczy prywatnych tylko w razie potrzeby. Wygeneruj nowe klucze i unieważnić wszystkie certyfikaty dla starych kluczy, gdy pracownicy z dostępem do klucza prywatnego opuszczają firmę.
    • Odnawiaj certyfikaty tak często, jak jest to praktycznie możliwe (przynajmniej raz w roku), najlepiej za każdym razem używając świeżo wygenerowanego klucza prywatnego. Narzędzia do automatyzacji, takie jak Protokół ACME są pomocne przy planowaniu częstych odnowień certyfikatów.
    • Jeśli klucz prywatny został (lub mógł zostać) przejęty, unieważnić wszystkie certyfikaty dla tego klucza, wygeneruj nową parę kluczy i wystaw nowy certyfikat dla nowej pary kluczy.

Skonfiguruj swój serwer

Na powierzchni, instalacja SSL /TLS świadectwo może wydawać się prostą operacją; jednak nadal istnieje wiele decyzji konfiguracyjnych, które należy podjąć, aby zapewnić szybki i bezpieczny serwer WWW oraz zapewnić płynne działanie, wolne od błędów i ostrzeżeń przeglądarki. Oto kilka wskazówek dotyczących konfiguracji, które ułatwią Ci skonfigurowanie protokołu SSL /TLS na twoich serwerach:

  • Upewnij się, że wszystkie nazwy hostów są objęte gwarancją: Czy Twój certyfikat obejmuje nazwę domeny Twojej witryny zarówno z rozszerzeniem www prefiks? Czy istnieje Alternatywna nazwa podmiotu (SAN) dla każdej nazwy domeny, którą certyfikat ma chronić?
  • Zainstaluj kompletne łańcuchy certyfikatów: SSL jednostki końcowej /TLS certyfikaty są zwykle podpisywane przez certyfikaty pośrednie, a nie przez klucz główny urzędu certyfikacji. Upewnij się, że na serwerze sieciowym są zainstalowane wszelkie certyfikaty pośrednie, aby zapewnić przeglądarkom pełną wersję ścieżka certyfikacji i unikaj ostrzeżeń i błędów dla użytkowników końcowych. Twój CA będzie w stanie zapewnić wszelkie niezbędne półprodukty; Klienci SSL.com mogą korzystać z naszego Pobieranie certyfikatu pośredniego strona, aby pobrać pakiety pośrednie dla wielu platform serwerowych.
  • Użyj aktualnego SSL /TLS Protokoły (TLS 1.2 lub 1.3): Pod koniec 2018 r. Wszyscy główni dostawcy przeglądarek ogłosili plany wycofania TLS 1.0 i 1.1 do pierwszej połowy 2020 roku. Google przestarzałe TLS Wersja 1.0 i 1.1 w przeglądarce Chrome 72 (wydana 30 stycznia 2919 r.). Chrome w wersji 84 (wydanej 14 lipca 2020 r.) I nowszych przedstawia pełnoekranowe ostrzeżenie dotyczące tych protokołów, a wsparcie będzie całkowicie usunięty w maju 2021 roku. Szeroka obsługa przeglądarek z wcześniejszym SSL /TLS wersje, takie jak SSL v3, już dawno minęły. Podczas TLS 1.2 jest obecnie najczęściej używaną wersją protokołu SSL /TLS protokół, TLS 1.3 (najnowsza wersja) to już obsługiwane w aktualnych wersjach większości głównych przeglądarek internetowych.
  • Użyj krótkiej listy bezpiecznych pakietów szyfrów: Wybierz tylko pakiety szyfrów, które oferują szyfrowanie co najmniej 128-bitowe lub silniejsze, jeśli to możliwe. Narodowy Instytut Standardów i Technologii (NIST) również to zaleca TLS implementacje odchodzą od zestawów szyfrów zawierających szyfr DES (lub jego warianty) na rzecz tych używających AES. Wreszcie, użycie tylko niewielkiego podzbioru potencjalnie akceptowalnych zestawów szyfrów minimalizuje powierzchnię ataku dla jeszcze nieodkrytych luk w zabezpieczeniach. Dodatek do SSL.com Przewodnik po TLS Zgodność z normami zapewnia przykładowe konfiguracje dla najpopularniejszych platform serwerów WWW, używając TLS 1.2.
    Uwaga: Używanie niepewnych, przestarzałych szyfrów (takich jak RC4) może powodować błędy bezpieczeństwa przeglądarki, takie jak ERR_SSL_VERSION_OR_CIPHER_MISMATCH w Google Chrome.
  • Użyj Forward Secrecy (FS): znany także jako idealna tajemnica do przodu (PFS), FS zapewnia, że ​​skompromitowany klucz prywatny nie wpłynie również na klucze poprzednich sesji. Aby włączyć FS:
    • Konfigurowanie TLS 1.2, aby użyć algorytmu wymiany klucza Elliptic Curve Diffie-Hellman (EDCHE) (z DHE jako rezerwą) i jeśli to możliwe, unikaj wymiany kluczy RSA całkowicie.
    • Zastosowanie TLS 1.3. TLS 1.3 zapewnia wszystkim tajemnicę do przodu TLS sesje za pośrednictwem Efemeryczny Diffie-Hellman (EDH lub DHE) protokół wymiany kluczy.
  • umożliwiać TLS Wznowienie sesji: Podobnie jak używanie keepalives do utrzymywania trwałych połączeń TCP, TLS wznowienie sesji umożliwia serwerowi WWW śledzenie ostatnio wynegocjowanego SSL /TLS sesje i wznów je, omijając narzut obliczeniowy związany z negocjowaniem klucza sesji.
  • Rozważ zszywanie OCSP: Zszywanie OCSP umożliwia serwerom internetowym dostarczanie przechowywanych w pamięci podręcznej informacji o odwołaniu bezpośrednio do klienta, co oznacza, że ​​przeglądarka nie będzie musiała kontaktować się z serwerem OCSP w celu sprawdzenia, czy certyfikat witryny został odwołany. Eliminując to żądanie, zszywanie OCSP zapewnia prawdziwy wzrost wydajności. Aby uzyskać więcej informacji, przeczytaj nasz artykuł, Optymalizacja ładowania strony: Zszywanie OCSP.

Użyj najlepszych praktyk w zakresie projektowania aplikacji internetowych

Projektowanie aplikacji internetowych z myślą o bezpieczeństwie jest tak samo ważne, jak prawidłowe skonfigurowanie serwera. Są to najważniejsze punkty zapewniające, że Twoi użytkownicy nie są narażeni na działanie Mężczyzna w środku ataki i że Twoja aplikacja uzyskuje korzyści SEO wynikające z dobrych praktyk bezpieczeństwa:

  • Wyeliminuj mieszane treści: Pliki JavaScript, obrazy i pliki CSS powinny cała kolekcja mieć dostęp za pomocą SSL /TLS. Jak opisano w artykule SSL.com, HTTPS Everywhere, służąc mieszana zawartość nie jest już akceptowalnym sposobem na zwiększenie wydajności witryny i może powodować ostrzeżenia bezpieczeństwa przeglądarki i problemy z SEO.
  • Użyj bezpiecznych plików cookie: Ustawianie Secure flaga w plikach cookie wymusi transmisję za pośrednictwem bezpiecznych kanałów (np. HTTPS). Możesz także uniemożliwić JavaScript dostępu do plików cookie po stronie klienta za pośrednictwem HttpOnly oflaguj i ogranicz użycie plików cookie między witrynami za pomocą SameSite flag.
  • Oceń kod innej firmy: Upewnij się, że rozumiesz potencjalne zagrożenia związane z używaniem bibliotek innych firm w swojej witrynie, takie jak możliwość nieumyślnego wprowadzenia luk w zabezpieczeniach lub złośliwego kodu. Zawsze sprawdzaj wiarygodność stron trzecich, najlepiej jak potrafisz, i umieszczaj linki do wszystkich kodów stron trzecich za pomocą protokołu HTTPS. Na koniec upewnij się, że korzyści płynące z wszelkich elementów stron trzecich w Twojej witrynie są warte ryzyka.

Sprawdź swoją pracę za pomocą narzędzi diagnostycznych

Po skonfigurowaniu SSL /TLS na serwerze i stronie internetowej lub dokonując jakichkolwiek zmian w konfiguracji, ważne jest, aby upewnić się, że wszystko jest poprawnie skonfigurowane, a system jest bezpieczny. Dostępnych jest wiele narzędzi diagnostycznych do sprawdzania SSL witryny /TLS. Na przykład SSL Shopper's Sprawdzanie SSL poinformuje Cię, czy Twój certyfikat został poprawnie zainstalowany, kiedy wygaśnie i wyświetli certyfikat łańcuch zaufania.

Dostępne są inne narzędzia i aplikacje internetowe, które będą indeksować witrynę w poszukiwaniu problemów bezpieczeństwa, takich jak mieszana zawartość. Możesz także sprawdzić zawartość mieszaną za pomocą przeglądarki internetowej, korzystając z wbudowanych narzędzi programistycznych:

ostrzeżenie o mieszanej zawartości
Ostrzeżenie o mieszanej zawartości w konsoli Chrome

Niezależnie od wybranych narzędzi ważne jest również ustalenie harmonogramu sprawdzania SSL /TLS instalacja i konfiguracja. Twój CA również może Ci w tym pomóc; na przykład, dla wygody naszych klientów, SSL.com zapewnia automatyczne powiadomienia o zbliżającym się wygaśnięciu certyfikatu.

Bądź czujny na nowe luki

Bezpieczeństwo sieci jest ciągle zmieniającym się celem i zawsze powinieneś uważać na następny atak i niezwłocznie stosować łaty bezpieczeństwa na swoim serwerze. Oznacza to czytanie i pozostawanie w kontakcie z tym, co jest na horyzoncie, jeśli chodzi o bezpieczeństwo informacji, a także śledzenie aktualizacji oprogramowania - zwłaszcza tych krytycznych. Witryna SSL.com (tam, gdzie to teraz czytasz) jest doskonałym źródłem aktualności na temat SSL /TLS i bezpieczeństwo informacji.

Ale co z…?

Jeśli chcesz dowiedzieć się więcej na którykolwiek z tematów omówionych w tym przewodniku i dowiedzieć się o nowych problemach i technologiach w miarę ich pojawiania się, możesz zacząć od przeglądania i przeszukiwania witryn SSL.com Baza wiedzy, o którym co tydzień informujemy o nowych osiągnięciach w dziedzinie SSL /TLS i PKI. Możesz również skontaktować się z naszym personelem wsparcia w dowolnym momencie za pośrednictwem poczty elektronicznej na adres Support@SSL.com, telefonicznie o godz 1-877-SSL-Securelub klikając łącze czatu w prawym dolnym rogu tej strony.

SSL.com zapewnia szeroką gamę domen SSL /TLS certyfikaty serwera dla witryn HTTPS.

PORÓWNAJ SSL /TLS CERTYFIKATY

Podziel się na Twitterze
Twitter
Podziel się na Facebook
Facebook
Udostępnij na linkedin
LinkedIn
Udział w reddit
Reddit
Udostępnij w e-mailu
E-mail