en English
X

Select Language

Powered by Google TranslateTranslate

We hope you will find the Google translation service helpful, but we don’t promise that Google’s translation will be accurate or complete. You should not rely on Google’s translation. English is the official language of our site.

en English
X

Select Language

Powered by Google TranslateTranslate

We hope you will find the Google translation service helpful, but we don’t promise that Google’s translation will be accurate or complete. You should not rely on Google’s translation. English is the official language of our site.

SSL /TLS Melhores práticas para 2021

Em 2021, protegendo seu site com um SSL /TLS certificado não é mais opcional, mesmo para empresas que não lidam diretamente com informações confidenciais de clientes na web. Mecanismos de pesquisa como o Google usam a segurança do site como um sinal de classificação de SEO, e navegadores populares como o Chrome alertam os usuários para sites que não usam HTTPS:

Navegador trabalhando para sites inseguros

No entanto, a perspectiva de configurar seus servidores web e aplicativos para usar o SSL /TLS protocolo corretamente pode parecer assustador, pois há muitas configurações misteriosas e opções de design a serem feitas. Este guia fornece uma visão geral rápida dos principais pontos a serem considerados ao configurar SSL /TLS para o seu site, focando na segurança e no desempenho. Ainda há muito a ser abordado apenas com o básico, então dividimos em uma série de etapas.

Escolha uma autoridade de certificação confiável (CA)

Seus certificados são tão confiáveis ​​quanto a CA que os emite. Todas as CAs de confiança pública estão sujeitas a auditorias rigorosas de terceiros para manter sua posição nos principais sistemas operacionais e programas de certificação de raiz do navegador, mas alguns são melhores em manter esse status do que outros. Procure um CA que (como SSL.com):

  • A maior parte de seus negócios está na área de confiança pública PKI. Essas empresas têm mais a perder se as más práticas de segurança aparecerem e tudo a ganhar acompanhando os padrões da indústria em evolução.
  • Responde com eficiência e eficácia às descobertas de vulnerabilidade que afetam a segurança e privacidade do usuário, como o de todo o setor entropia do número de série edição do início de 2019. Pesquisando em fóruns do setor, como mozilla.dev.security.policy pode lhe dar uma boa idéia sobre como uma CA específica reage às adversidades.
  • Oferece produtos e serviços úteis, como certificados de validação estendida (EV), emissão de certificados em massa / automatizada por meio de um intuitivo API ou de Protocolo ACME, serviços fáceis de gerenciamento e monitoramento do ciclo de vida do certificado e ajuda para integração com uma extensa lista de soluções de terceiros.
  • Tem uma reputação de ótimo atendimento ao cliente e suporte técnico. Manter o site da sua empresa seguro 100% do tempo é importante, e você precisa ser capaz de falar com um especialista de verdade ao telefone quando algo der errado.

Autoridade de Autoridade de Certificação (CAA)

Autoridade de Autoridade de Certificação (CAA) é um padrão para proteger sites, designando CAs específicos que têm permissão para emitir certificados para um nome de domínio. Depois de escolher um CA, você deve considerar configurar registros CAA para autorizá-lo.

Gere e proteja suas chaves privadas

A vida do SSL /TLS protocolo utiliza um par de chaves para autenticar identidades e criptografar informações enviadas pela Internet. Um deles (o chave pública) destina-se a ampla distribuição e o outro (o chave privada) deve ser mantido o mais seguro possível. Essas chaves são criadas juntas quando você gera um solicitação de assinatura de certificado (CSR). Aqui estão alguns indicadores a serem lembrados em relação às suas chaves privadas:

  • Use chaves privadas fortes: Teclas maiores são mais difíceis de decifrar, mas requerem mais sobrecarga de computação. Atualmente, recomenda-se pelo menos uma chave RSA de 2048 bits ou uma chave ECDSA de 256 bits, e a maioria dos sites pode obter boa segurança enquanto otimiza o desempenho e a experiência do usuário com esses valores.
    NOTA para uma visão geral desses dois algoritmos, consulte o artigo SSL.com, Comparando ECDSA vs RSA.
  • Proteja suas chaves privadas:
    • Gere suas próprias chaves privadas em um ambiente seguro e confiável (de preferência no servidor onde serão implementadas ou em um dispositivo compatível com FIPS ou Common Criteria). Nunca permitir que uma CA (ou qualquer outra pessoa) gere chaves privadas em seu nome. Uma CA pública de boa reputação, como SSL.com, nunca se oferecerá para gerar ou manipular suas chaves privadas, a menos que sejam geradas em um token de hardware seguro ou HSM e não sejam exportáveis.
    • Apenas dê acesso às chaves privadas conforme necessário. Gere novas chaves e revogar todos os certificados das chaves antigas quando os funcionários com acesso à chave privada deixam a empresa.
    • Renove os certificados sempre que possível (pelo menos uma vez por ano seria bom), de preferência usando uma chave privada recém-gerada a cada vez. Ferramentas de automação como o Protocolo ACME são úteis para agendar renovações de certificados frequentes.
    • Se uma chave privada foi (ou pode ter sido) comprometida, revogar todos os certificados para esta chave, gere um novo par de chaves e emita um novo certificado para o novo par de chaves.

Configure o seu servidor

Na superfície, instalando um SSL /TLS certificado pode parecer uma operação simples; no entanto, ainda há muitas decisões de configuração que devem ser feitas para garantir que seu servidor da web seja rápido e seguro e que os usuários finais tenham uma experiência tranquila, livre de erros e avisos do navegador. Aqui estão algumas dicas de configuração para ajudar a colocá-lo no caminho certo ao configurar SSL /TLS nos seus servidores:

  • Certifique-se de que todos os nomes de host estão cobertos: O seu certificado cobre o nome de domínio do seu site com e sem o www prefixo? Tem alguma Nome alternativo da entidade (SAN) para cada nome de domínio que o certificado se destina a proteger?
  • Instalar cadeias de certificados completas: SSL de entidade final /TLS certificados são geralmente assinados por certificados intermediários em vez de uma chave raiz de CA. Certifique-se de que todos os certificados intermediários estejam instalados em seu servidor web para fornecer aos navegadores um completo caminho de certificação e evitar avisos e erros de confiança para os usuários finais. Seu CA será capaz de fornecer-lhe quaisquer intermediários necessários; Os clientes de SSL.com podem usar nosso Download intermediário de certificado página para recuperar pacotes intermediários para muitas plataformas de servidor.
  • Usar SSL atual /TLS Protocolos (TLS 1.2 ou 1.3): No final de 2018, todos os principais fornecedores de navegadores anunciaram planos de descontinuar TLS 1.0 e 1.1 no primeiro semestre de 2020. Google obsoleta TLS v1.0 e v1.1 no Chrome 72 (lançado em 30 de janeiro de 2919). As versões 84 do Chrome (lançadas em 14 de julho de 2020) e posteriores apresentam um aviso intersticial para esses protocolos e o suporte será totalmente removido em maio de 2021. Suporte generalizado de navegador para SSL /TLS versões, como SSL v3, já se foram. Enquanto TLS 1.2 é atualmente a versão mais usada do SSL /TLS protocolo, TLS 1.3 (a versão mais recente) é já suportado nas versões atuais da maioria dos principais navegadores da web.
  • Use uma lista curta de conjuntos seguros de criptografia: Escolha apenas conjuntos de criptografia que oferecem criptografia de pelo menos 128 bits ou mais forte quando possível. O Instituto Nacional de Padrões e Tecnologia (NIST) também recomenda que todos TLS as implementações mudam de conjuntos de cifras contendo a cifra DES (ou suas variantes) para aqueles que usam AES. Finalmente, o uso de apenas um pequeno subconjunto de pacotes de criptografia potencialmente aceitáveis ​​minimiza a superfície de ataque para vulnerabilidades ainda não descobertas. O apêndice de SSL.com's Guia para TLS Conformidade com as normas fornece exemplos de configurações para as plataformas de servidor da Web mais populares, usando TLS 1.2.
    NOTA O uso de cifras não seguras e obsoletas (como RC4) pode causar erros de segurança do navegador, como ERR_SSL_VERSION_OR_CIPHER_MISMATCH no Google Chrome.
  • Use o sigilo direto (FS): Também conhecido como sigilo direto perfeito (PFS), O FS garante que uma chave privada comprometida também não comprometa as chaves da sessão anterior. Para habilitar o FS:
    • configurar TLS 1.2 para usar o algoritmo de troca de chaves Elliptic Curve Diffie-Hellman (EDCHE) (com DHE como substituto) e evite a troca de chaves RSA completamente, se possível.
    • Use TLS 1.3. TLS 1.3 fornece sigilo para todos TLS sessões através do Diffie-Hellman efêmero (EDH ou DHE) protocolo de troca de chaves.
  • permitir TLS Reinício da sessão: De maneira semelhante ao uso de keepalives para manter conexões TCP persistentes, TLS a retomada da sessão permite que o seu servidor web acompanhe o SSL / negociado recentementeTLS sessões e retome-as, ignorando a sobrecarga computacional da negociação de chaves da sessão.
  • Considere o grampeamento OCSP: Grampeamento OCSP permite que os servidores da web forneçam informações de revogação em cache diretamente para o cliente, o que significa que um navegador não terá que entrar em contato com um servidor OCSP para verificar se o certificado de um site foi revogado. Ao eliminar essa solicitação, o grampeamento OCSP oferece um aumento real de desempenho. Para obter mais informações, leia nosso artigo, Otimização de carregamento de página: grampeamento OCSP.

Use as práticas recomendadas para o design de aplicativos da Web

Projetar seus aplicativos da web com a segurança em mente é tão importante quanto configurar seu servidor corretamente. Esses são os pontos mais importantes para garantir que seus usuários não sejam expostos a homem no meio ataques e que seu aplicativo obtenha os benefícios de SEO que vêm com boas práticas de segurança:

  • Eliminar conteúdo misto: Arquivos JavaScript, imagens e arquivos CSS devem todos os ser acessado com SSL /TLS. Conforme descrito no artigo SSL.com, HTTPS Everywhereservindo conteúdo misto não é mais uma maneira aceitável de aumentar o desempenho do site e pode resultar em avisos de segurança do navegador e problemas de SEO.
  • Use cookies seguros: Configurando o Secure A sinalização nos cookies reforçará a transmissão por canais seguros (por exemplo, HTTPS). Você também pode impedir que o JavaScript do cliente acesse cookies via HttpOnly e restringir o uso entre sites de cookies com o SameSite bandeira.
  • Avalie o código de terceiros: Certifique-se de compreender os riscos potenciais do uso de bibliotecas de terceiros em seu site, como a possibilidade de introduzir inadvertidamente vulnerabilidades ou código malicioso. Sempre verifique a confiabilidade de terceiros com o melhor de sua capacidade e vincule a todos os códigos de terceiros com HTTPS. Por fim, certifique-se de que vale o risco se beneficiar de quaisquer elementos de terceiros em seu site.

Verifique seu trabalho com ferramentas de diagnóstico

Depois de configurar SSL /TLS no seu servidor e site ou fazendo qualquer alteração de configuração, é importante certificar-se de que tudo está configurado corretamente e que o seu sistema está seguro. Várias ferramentas de diagnóstico estão disponíveis para verificar o SSL / do seu siteTLS. Por exemplo, SSL Shopper's Verificador SSL irá informá-lo se o seu certificado está instalado corretamente, quando irá expirar, e exibirá o certificado cadeia de confiança.

Estão disponíveis outras ferramentas e aplicativos online que rastrearão seu site, procurando problemas de segurança, como conteúdo misto. Você também pode verificar se há conteúdo misto com um navegador da Web usando suas ferramentas de desenvolvedor internas:

aviso de conteúdo misto
Aviso de conteúdo misto no console do Chrome

Quaisquer que sejam as ferramentas que você escolher, também é importante definir uma programação para verificar o seu SSL /TLS instalação e configuração. Seu CA também pode ajudá-lo com isso; por exemplo, como uma conveniência para nossos clientes, SSL.com fornece notificações automatizadas de expiração de certificado iminente.

Fique alerta para novas vulnerabilidades

A segurança da Web é um alvo em constante movimento e você sempre deve estar atento ao próximo ataque e aplicar prontamente patches de segurança no servidor. Isso significa ler e ficar em contato com o que está por vir quando se trata de segurança da informação, bem como manter o controle das atualizações de software - especialmente as críticas. Site SSL.com (onde você está lendo isso agora) é uma ótima fonte para se manter atualizado sobre SSL /TLS e segurança da informação.

Mas e quanto ...?

Se quiser saber mais sobre qualquer um dos tópicos abordados neste guia e aprender sobre novos problemas e tecnologias à medida que surgem, você pode começar navegando e pesquisando no SSL.com Base de Conhecimento, que mantemos atualizados semanalmente com novos desenvolvimentos na área de SSL /TLS e PKI. Você também pode entrar em contato com nossa equipe de suporte a qualquer momento, via e-mail em Support@SSL.com, no telefone em 1-877-SSL-Secureou clicando no link de bate-papo no canto inferior direito desta página.

SSL.com oferece uma grande variedade de SSL /TLS certificados de servidor para sites HTTPS.

COMPARAR SSL /TLS CERTIFICADOS

Partilhar no Twitter
Twitter
Partilhar no Facebook
Facebook
Partilhar no LinkedIn
LinkedIn
Share on reddit
Reddit
Compartilhar no email
E-mail