SSL /TLS Thực tiễn tốt nhất cho năm 2023

Vào năm 2023, bảo mật trang web của bạn bằng SSL /TLS chứng chỉ không còn tùy chọn, ngay cả đối với các doanh nghiệp không xử lý trực tiếp thông tin nhạy cảm của khách hàng trên web. Các công cụ tìm kiếm như Google sử dụng bảo mật trang web làm tín hiệu xếp hạng SEO và các trình duyệt web phổ biến như Chrome cảnh báo người dùng về các trang web không sử dụng HTTPS:

Trình duyệt làm việc cho trang web không an toàn

Tuy nhiên, triển vọng thiết lập các máy chủ web và ứng dụng của bạn để sử dụng SSL /TLS giao thức một cách chính xác có thể cảm thấy khó khăn, vì có nhiều lựa chọn cấu hình và thiết kế phức tạp để thực hiện. Hướng dẫn này cung cấp tổng quan nhanh về những điểm chính cần lưu ý khi thiết lập SSL /TLS cho trang web của bạn, đồng thời tập trung vào cả bảo mật và hiệu suất. Vẫn còn rất nhiều điều cần trình bày chỉ với những điều cơ bản, vì vậy chúng tôi đã chia nhỏ nó thành một loạt các bước.

SSL.com cung cấp nhiều loại của SSL/TLS chứng chỉ máy chủ. Bảo mật trang web của bạn ngay hôm nay bằng chứng chỉ SSL từ SSL.com và xây dựng niềm tin với khách truy cập của bạn!

SO SÁNH SSL /TLS CHỨNG CHỈ

Chọn Cơ quan cấp chứng chỉ đáng tin cậy (CA)

Chứng chỉ của bạn chỉ đáng tin cậy như CA cấp chúng. Tất cả CA đáng tin cậy công khai đều phải chịu sự kiểm tra nghiêm ngặt của bên thứ ba để duy trì vị trí của họ trong các chương trình chứng chỉ gốc của hệ điều hành và trình duyệt chính, nhưng một số CA tốt hơn trong việc duy trì trạng thái đó so với những CA khác. Tìm một CA (như SSL.com):

  • Hầu hết hoạt động kinh doanh của nó trong lĩnh vực được công chúng tin cậy PKI. Những doanh nghiệp này sẽ mất mát nhiều nhất nếu các hoạt động bảo mật kém được đưa ra ánh sáng, và mọi thứ phải đạt được bằng cách theo kịp các tiêu chuẩn công nghiệp đang phát triển.
  • Phản ứng hiệu quả và hiệu quả đối với các phát hiện lỗ hổng bảo mật và quyền riêng tư của người dùng, chẳng hạn như toàn ngành số thứ tự entropy vấn đề đầu năm 2019. Tìm kiếm các diễn đàn công nghiệp như mozilla.dev.security.policy có thể cung cấp cho bạn một ý tưởng tốt về cách một CA cụ thể phản ứng với nghịch cảnh.
  • Cung cấp các sản phẩm và dịch vụ hữu ích, chẳng hạn như chứng chỉ Xác thực mở rộng (EV), phát hành chứng chỉ hàng loạt / tự động thông qua trực quan API hoặc là Giao thức ACME, dịch vụ giám sát và quản lý vòng đời chứng chỉ dễ dàng, và hỗ trợ để tích hợp với danh sách mở rộng các giải pháp của bên thứ ba.
  • Có một danh tiếng cho dịch vụ khách hàng tuyệt vời và hỗ trợ kỹ thuật. Luôn giữ cho trang web của công ty bạn được bảo mật 100% là điều quan trọng và bạn cần có được một chuyên gia thực sự về điện thoại khi có sự cố.

Chứng nhận ủy quyền (CAA)

Chứng nhận ủy quyền (CAA) là một tiêu chuẩn để bảo vệ các trang web bằng cách chỉ định các CA cụ thể được phép cấp chứng chỉ cho một tên miền. Khi đã chọn CA, bạn nên cân nhắc cấu hình hồ sơ CAA để ủy quyền cho nó.

Tạo và bảo mật khóa riêng của bạn

Sản phẩm SSL /TLS giao thức sử dụng cặp chìa khóa để xác thực danh tính và mã hóa thông tin được gửi qua Internet. Một trong số này ( khóa công khai) được dành cho phân phối rộng rãi và khác ( khóa cá nhân (private key)) nên được giữ an toàn nhất có thể. Các khóa này được tạo cùng nhau khi bạn tạo yêu cầu đăng kí chứng chỉ (CSR). Dưới đây là một vài gợi ý cần lưu ý về khóa riêng của bạn:

  • Sử dụng khóa riêng mạnh mẽ: Các phím lớn hơn khó bị bẻ khóa hơn, nhưng đòi hỏi nhiều chi phí tính toán hơn. Hiện tại, ít nhất nên sử dụng khóa RSA 2048 bit hoặc khóa ECDSA 256 bit và hầu hết các trang web có thể đạt được bảo mật tốt trong khi tối ưu hóa hiệu suất và trải nghiệm người dùng với các giá trị này.
    Lưu ý: để biết tổng quan về hai thuật toán này, vui lòng xem bài viết của SSL.com, So sánh ECDSA với RSA.
  • Bảo vệ khóa riêng của bạn:
    • Tạo khóa riêng của bạn trên môi trường an toàn và đáng tin cậy (tốt nhất là trên máy chủ nơi chúng sẽ được triển khai hoặc thiết bị tuân thủ Tiêu chí chung hoặc Tiêu chuẩn chung). Không bao giờ cho phép CA (hoặc bất kỳ ai khác) thay mặt bạn tạo khóa cá nhân. Một CA công khai có uy tín, chẳng hạn như SSL.com, sẽ không bao giờ đề nghị tạo hoặc xử lý các khóa cá nhân của bạn trừ khi chúng được tạo bằng mã thông báo phần cứng an toàn hoặc HSM và không thể xuất được.
    • Chỉ cung cấp quyền truy cập vào khóa riêng khi cần thiết. Tạo khóa mới và thu hồi tất cả chứng chỉ cho các khóa cũ khi nhân viên có quyền truy cập khóa riêng rời khỏi công ty.
    • Gia hạn chứng chỉ càng thường xuyên càng tốt (ít nhất là hàng năm sẽ tốt), tốt nhất là sử dụng khóa riêng tư mới được tạo mỗi lần. Các công cụ tự động hóa như Giao thức ACME rất hữu ích cho việc lên lịch gia hạn chứng chỉ thường xuyên.
    • Nếu một khóa riêng đã bị (hoặc có thể đã bị) xâm phạm, thu hồi tất cả chứng chỉ cho khóa này, tạo cặp khóa mới và cấp chứng chỉ mới cho cặp khóa mới.

Cấu hình máy chủ của bạn

Trên bề mặt, cài đặt SSL /TLS Giấy chứng nhận có thể có vẻ giống như một hoạt động đơn giản; tuy nhiên, vẫn còn nhiều quyết định cấu hình phải được thực hiện để đảm bảo rằng máy chủ web của bạn nhanh và an toàn, đồng thời người dùng cuối có trải nghiệm mượt mà không bị lỗi và cảnh báo trình duyệt. Dưới đây là một số gợi ý cấu hình để giúp bạn đi đúng hướng khi thiết lập SSL /TLS trên máy chủ của bạn:

  • Đảm bảo tất cả tên máy chủ được bảo hiểm: Chứng chỉ của bạn có bao gồm tên miền trang web của bạn cả khi có và không có www tiếp đầu ngữ? Có một Tên thay thế chủ đề (SAN) đối với mọi tên miền, chứng chỉ được dùng để bảo vệ?
  • Cài đặt chuỗi chứng chỉ hoàn chỉnh: SSL tổ chức cuối /TLS chứng chỉ thường được ký bởi chứng chỉ trung gian chứ không phải là khóa gốc của CA. Đảm bảo rằng bất kỳ chứng chỉ trung gian nào đều được cài đặt trên máy chủ web của bạn để cung cấp cho các trình duyệt hoàn chỉnh con đường chứng nhận và tránh các cảnh báo và lỗi tin cậy cho người dùng cuối. CA của bạn sẽ có thể cung cấp cho bạn bất kỳ sản phẩm trung gian cần thiết nào; Khách hàng của SSL.com có ​​thể sử dụng Tải xuống chứng chỉ trung cấp trang để truy xuất các gói trung gian cho nhiều nền tảng máy chủ.
  • Sử dụng SSL hiện tại /TLS Giao thức (TLS 1.2 hoặc 1.3): Vào cuối năm 2018, tất cả các nhà cung cấp trình duyệt lớn đã công bố kế hoạch không dùng nữa TLS 1.0 và 1.1 vào nửa đầu năm 2020. Google phản đối TLS v1.0 và v1.1 trong Chrome 72 (phát hành ngày 30 tháng 2919 năm 84). Chrome phiên bản 14 (phát hành ngày 2020 tháng XNUMX năm XNUMX) trở lên hiển thị cảnh báo xen kẽ cho các giao thức này và hỗ trợ đã được lên lịch loại bỏ hoàn toàn vào tháng 2021 năm XNUMX. Hỗ trợ trình duyệt rộng rãi của SSL trước đó /TLS các phiên bản, chẳng hạn như SSL v3, đã không còn nữa. Trong khi TLS 1.2 hiện là phiên bản được sử dụng rộng rãi nhất của SSL /TLS giao thức, TLS 1.3 (phiên bản mới nhất) là đã được hỗ trợ trong các phiên bản hiện tại của hầu hết các trình duyệt web chính.
  • Sử dụng một danh sách ngắn các bộ mật mã an toàn: Chỉ chọn các bộ mật mã cung cấp mã hóa ít nhất 128 bit hoặc mạnh hơn khi có thể. Viện Tiêu chuẩn và Công nghệ Quốc gia (NIST) cũng khuyến nghị rằng tất cả TLS triển khai chuyển từ các bộ mật mã có chứa mật mã DES (hoặc các biến thể của nó) sang các bộ sử dụng AES. Cuối cùng, chỉ sử dụng một tập hợp con nhỏ các bộ mật mã có thể chấp nhận được sẽ giảm thiểu bề mặt tấn công cho các lỗ hổng chưa được phát hiện. Phụ lục của SSL.com Hướng dẫn TLS Tiêu chuẩn tuân thủ cung cấp các cấu hình ví dụ cho các nền tảng máy chủ web phổ biến nhất, sử dụng TLS 1.2.
    Lưu ý: Sử dụng không an toàn, các mật mã không dùng nữa (như RC4) có thể gây ra lỗi bảo mật trình duyệt, chẳng hạn như ERR_SSL_VERSION_OR_CIPHER_MISMATCH trong Google Chrome.
  • Sử dụng bí mật chuyển tiếp (FS): Còn được biết là bí mật hoàn hảo về phía trước (PFS), FS đảm bảo rằng khóa riêng bị xâm phạm cũng sẽ không thỏa hiệp các khóa phiên trước. Để bật FS:
    • Thiết lập TLS 1.2 để sử dụng thuật toán trao đổi khóa Elliptic Curve Diffie-Hellman (EDCHE) (với DHE là dự phòng) và tránh trao đổi khóa RSA hoàn toàn nếu có thể.
    • Sử dụng TLS 1.3. TLS 1.3 cung cấp bí mật về phía trước cho tất cả TLS phiên thông qua Phù du Diffie-Hellman (EDH hoặc DHE) giao thức trao đổi khóa.
  • Kích hoạt tính năng TLS Tiếp tục phiên: Tương tự như việc sử dụng thủ tục để duy trì các kết nối TCP liên tục, TLS phục hồi phiên cho phép máy chủ web của bạn theo dõi SSL /TLS phiên và tiếp tục chúng, bỏ qua chi phí tính toán của đàm phán khóa phiên.
  • Xem xét ghim OCSP: Đóng ghim OCSP cho phép máy chủ web cung cấp thông tin thu hồi đã lưu trong bộ nhớ cache trực tiếp đến máy khách, có nghĩa là trình duyệt sẽ không phải liên hệ với máy chủ OCSP để kiểm tra xem chứng chỉ của trang web đã bị thu hồi hay chưa. Bằng cách loại bỏ yêu cầu này, dập ghim OCSP mang lại hiệu suất tăng thực sự. Để biết thêm thông tin, vui lòng đọc bài viết của chúng tôi, Tối ưu hóa tải trang: Đóng ghim OCSP.

Sử dụng thực tiễn tốt nhất cho thiết kế ứng dụng web

Thiết kế các ứng dụng web của bạn có lưu ý đến bảo mật cũng quan trọng như việc định cấu hình máy chủ của bạn một cách chính xác. Đây là những điểm quan trọng nhất để đảm bảo rằng người dùng của bạn không tiếp xúc với người đàn ông ở giữa các cuộc tấn công và ứng dụng của bạn nhận được các lợi ích SEO đi kèm với các phương pháp bảo mật tốt:

  • Loại bỏ nội dung hỗn hợp: Các tệp JavaScript, hình ảnh và tệp CSS nên tất cả các được truy cập bằng SSL /TLS. Như đã trình bày trong bài viết của SSL.com, HTTPS Ở khắp mọi nơi, phục vụ nội dung hỗn hợp không còn là một cách chấp nhận được để tăng hiệu suất trang web và có thể dẫn đến các cảnh báo bảo mật trình duyệt và các vấn đề SEO.
  • Sử dụng Cookies an toàn: Đặt Secure cờ trong cookie sẽ thực thi truyền qua các kênh an toàn (ví dụ: HTTPS). Bạn cũng có thể ngăn JavaScript phía máy khách truy cập cookie thông qua HttpOnly gắn cờ và hạn chế sử dụng cookie trên nhiều trang web với SameSite cờ.
  • Đánh giá mã của bên thứ ba: Đảm bảo rằng bạn hiểu những rủi ro tiềm ẩn khi sử dụng thư viện của bên thứ ba trong trang web của mình, chẳng hạn như khả năng vô tình đưa vào các lỗ hổng hoặc mã độc hại. Luôn kiểm tra độ tin cậy của bên thứ ba trong khả năng của bạn và liên kết với tất cả mã của bên thứ ba bằng HTTPS. Cuối cùng, hãy đảm bảo rằng lợi ích của bạn từ bất kỳ yếu tố bên thứ ba nào trên trang web của bạn là xứng đáng với rủi ro.

Kiểm tra công việc của bạn với các công cụ chẩn đoán

Sau khi thiết lập SSL /TLS trên máy chủ và trang web của bạn hoặc thực hiện bất kỳ thay đổi cấu hình nào, điều quan trọng là đảm bảo rằng mọi thứ được thiết lập chính xác và hệ thống của bạn được bảo mật. Nhiều công cụ chẩn đoán có sẵn để kiểm tra SSL / trang web của bạnTLS. Ví dụ: SSL Shopper's Trình kiểm tra SSL sẽ cho bạn biết nếu chứng chỉ của bạn được cài đặt đúng cách, khi nào chứng chỉ hết hạn và sẽ hiển thị chứng chỉ của chuỗi tín thác.

Các công cụ và ứng dụng trực tuyến khác có sẵn sẽ thu thập dữ liệu trang web của bạn để kiểm tra các vấn đề bảo mật như nội dung hỗn hợp. Bạn cũng có thể kiểm tra nội dung hỗn hợp với trình duyệt web bằng cách sử dụng các công cụ dành cho nhà phát triển tích hợp của nó:

cảnh báo nội dung hỗn hợp
Cảnh báo nội dung hỗn hợp trong bảng điều khiển Chrome

Dù bạn chọn công cụ nào, điều quan trọng là phải đặt lịch kiểm tra SSL /TLS cài đặt và cấu hình. CA của bạn cũng có thể giúp bạn trong việc này; chẳng hạn, để tạo sự thuận tiện cho khách hàng của chúng tôi, SSL.com cung cấp thông báo tự động về việc chứng chỉ sắp hết hạn.


Triển khai HTTP Strict Transport Security (HSTS)

HTTP Strict Transport Security (HSTS) là một cơ chế chính sách bảo mật giúp bảo vệ các trang web chống lại các cuộc tấn công hạ cấp giao thức và chiếm quyền điều khiển cookie. Nó cho phép các máy chủ web tuyên bố rằng các trình duyệt web (hoặc các tác nhân người dùng tuân thủ khác) chỉ nên tương tác với nó bằng các kết nối HTTPS an toàn và không bao giờ thông qua giao thức HTTP không an toàn. Chính sách này được máy chủ truyền đạt tới tác nhân người dùng thông qua trường tiêu đề phản hồi HTTP có tên là “Strict-Transport-Security”.

Thực hiện Bảo mật truyền tải nghiêm ngặt HTTP (HSTS), bạn cần thêm tiêu đề phản hồi đặc biệt vào cấu hình máy chủ web của mình.

Đây là hướng dẫn từng bước:

  1. Đảm bảo trang web của bạn hỗ trợ HTTPS: Trước khi bật HSTS, trang web của bạn phải có tài khoản hợp lệ chứng chỉ SSL và có thể cung cấp nội dung qua HTTPS. Nếu trang web của bạn chưa được định cấu hình cho HTTPS, bạn cần phải lấy chứng chỉ SSL và định cấu hình máy chủ của bạn để sử dụng nó.
Tiêu đề luôn đặt Strict-Transport-Security "max-age=31536000; includeSubDomains"

Dòng này yêu cầu trình duyệt luôn sử dụng HTTPS cho trang web của bạn trong năm tới (31,536,000 giây), bao gồm tất cả các tên miền phụ.

 

  1. Kiểm tra cấu hình của bạn: Sau khi thêm tiêu đề HSTS, bạn nên kiểm tra trang web của mình để đảm bảo trang web hoạt động bình thường. Bạn có thể thực hiện việc này bằng cách truy cập trang web của mình và sử dụng các công cụ dành cho nhà phát triển của trình duyệt để kiểm tra các tiêu đề phản hồi. Bạn sẽ thấy tiêu đề Strict-Transport-Security với giá trị bạn đã đặt.
  2. Cân nhắc thêm trang web của bạn vào danh sách tải trước HSTS: Danh sách tải trước HSTS là danh sách các trang web được mã hóa cứng vào trình duyệt dưới dạng hỗ trợ HSTS. Điều này cung cấp một mức độ bảo vệ bổ sung, vì nó đảm bảo rằng kết nối đầu tiên đến trang web của bạn được an toàn, ngay cả trước khi nhận được tiêu đề HSTS. Bạn có thể gửi trang web của mình vào danh sách tải trước HSTS tại hstspreload.org.

 

Trường hợp sử dụng: Một trang web tin tức muốn đảm bảo rằng người dùng luôn kết nối an toàn với trang web đó, ngay cả khi họ vô tình nhập “http” thay vì “https” trong URL. Trang web sử dụng HSTS bằng cách thêm tiêu đề Strict-Transport-Security vào cấu hình máy chủ của nó, đặt tuổi tối đa dài và bao gồm tất cả các miền phụ. Điều này yêu cầu các tác nhân người dùng luôn kết nối với nó bằng HTTPS, bảo vệ người dùng khỏi các cuộc tấn công cố hạ cấp kết nối xuống HTTP và đánh cắp cookie của họ. Trang web cũng tự đưa mình vào danh sách tải trước HSTS để được bảo vệ thêm.

SSL.com cung cấp nhiều loại của SSL/TLS chứng chỉ máy chủ. Bảo mật trang web của bạn ngay hôm nay bằng chứng chỉ SSL từ SSL.com và xây dựng niềm tin với khách truy cập của bạn!

SO SÁNH SSL /TLS CHỨNG CHỈ

Sử dụng TLS Dự phòng SCSV để ngăn chặn các cuộc tấn công hạ cấp giao thức

TLS SCSV dự phòng (Giá trị bộ mật mã báo hiệu) là một cơ chế được giới thiệu để ngăn chặn các cuộc tấn công hạ cấp giao thức. Các cuộc tấn công này xảy ra khi kẻ tấn công can thiệp vào quá trình thiết lập kết nối và lừa máy khách và máy chủ sử dụng phiên bản giao thức kém an toàn hơn so với phiên bản mà cả hai thực sự hỗ trợ.

Đây là cách bạn có thể thực hiện TLS SCSV dự phòng:

  1. Cập nhật SSL của máy chủ của bạn/TLS Thư viện: Bước đầu tiên là đảm bảo rằng SSL/máy chủ của bạnTLS hỗ trợ thư viện TLS SCSV dự phòng. Tính năng này đã được giới thiệu trong OpenSSL 1.0.1j, 1.0.0o và 0.9.8zc. Nếu bạn đang sử dụng một SSL/TLS thư viện, kiểm tra tài liệu của nó hoặc liên hệ với các nhà phát triển của nó.
  2. Cấu hình máy chủ của bạn: Khi SSL của máy chủ của bạn/TLS hỗ trợ thư viện TLS SCSV dự phòng, bạn có thể cần định cấu hình máy chủ của mình để sử dụng nó. Các bước chính xác sẽ phụ thuộc vào phần mềm máy chủ của bạn. Ví dụ: trong Apache, bạn có thể cần thêm hoặc sửa đổi một dòng trong tệp cấu hình của mình như sau:

 

Giao thức SSL Tất cả -SSLv2 -SSLv3

Dòng này báo cho máy chủ sử dụng tất cả các phiên bản giao thức ngoại trừ SSLv2 và SSLv3. Nếu máy khách và máy chủ đều hỗ trợ TLS 1.2, nhưng khách hàng cố gắng sử dụng TLS 1.1 (có thể do sự can thiệp của kẻ tấn công), máy chủ sẽ nhận ra đây là nỗ lực dự phòng và từ chối kết nối.

  1. Kiểm tra máy chủ của bạn: Sau khi định cấu hình máy chủ của mình, bạn nên kiểm tra máy chủ để đảm bảo rằng máy chủ đang triển khai chính xác TLS SCSV dự phòng. Có nhiều công cụ trực tuyến khác nhau có thể giúp bạn thực hiện việc này, chẳng hạn như Kiểm tra máy chủ SSL Labs.

 

Trường hợp sử dụng: Một tập đoàn toàn cầu sử dụng TLS Dự phòng SCSV để bảo vệ thông tin liên lạc nội bộ của nó. Điều này đảm bảo rằng nếu kẻ tấn công cố gắng hạ cấp giao thức, máy chủ sẽ nhận ra điều này và từ chối kết nối, bảo vệ dữ liệu nhạy cảm của tập đoàn. Đội ngũ CNTT của tập đoàn thường xuyên cập nhật SSL/TLS các thư viện và cấu hình để đảm bảo rằng họ đang sử dụng các tính năng bảo mật mới nhất, đồng thời họ sử dụng các công cụ trực tuyến để kiểm tra máy chủ của mình và xác nhận rằng họ đang triển khai đúng cách TLS SCSV dự phòng.

Tránh các vấn đề về nội dung hỗn hợp

Nội dung hỗn hợp là rủi ro bảo mật xảy ra khi trang web được tải qua kết nối HTTPS an toàn bao gồm các tài nguyên, chẳng hạn như hình ảnh, video, biểu định kiểu hoặc tập lệnh, được tải qua kết nối HTTP không an toàn. Các trình duyệt có thể chặn nội dung hỗn hợp này hoặc hiển thị cảnh báo cho người dùng, điều này có thể gây hại cho nhận thức của người dùng về tính bảo mật của trang web.

Đây là cách bạn có thể tránh các vấn đề về nội dung hỗn hợp:

  1. Sử dụng HTTPS cho tất cả tài nguyên: Cách đơn giản nhất để tránh nội dung hỗn hợp là đảm bảo rằng tất cả tài nguyên trên trang web của bạn được tải qua HTTPS. Điều này bao gồm hình ảnh, tập lệnh, biểu định kiểu, iframe, yêu cầu AJAX và bất kỳ tài nguyên nào khác mà trang web của bạn sử dụng.
  2. Cập nhật mã trang web của bạn: Nếu mã trang web của bạn bao gồm các URL HTTP được mã hóa cứng cho các tài nguyên, bạn sẽ cần cập nhật các URL này để sử dụng HTTPS thay thế. Nếu tài nguyên được lưu trữ trên máy chủ không hỗ trợ HTTPS, bạn có thể cần lưu trữ tài nguyên trên máy chủ của riêng mình hoặc tìm một tài nguyên thay thế có thể được tải qua HTTPS.
  3. Định cấu hình máy chủ của bạn để gửi Tiêu đề chính sách bảo mật nội dung: Tiêu đề HTTP Chính sách bảo mật nội dung (CSP) cho phép bạn kiểm soát những tài nguyên mà trang web của bạn được phép tải. Bằng cách đặt tiêu đề CSP chỉ cho phép tài nguyên HTTPS, bạn có thể đảm bảo rằng trang web của mình không vô tình bao gồm nội dung hỗn hợp.

 

Trường hợp sử dụng: Tạp chí trực tuyến đảm bảo rằng tất cả nội dung, bao gồm hình ảnh và tập lệnh, được tải qua HTTPS. Điều này ngăn những kẻ tấn công giả mạo các tài nguyên này và có khả năng đưa nội dung độc hại vào. Các nhà phát triển web của tạp chí thường xuyên xem xét mã của trang web để đảm bảo rằng tất cả tài nguyên được tải qua HTTPS và họ định cấu hình máy chủ của mình để gửi tiêu đề Chính sách bảo mật nội dung nghiêm ngặt. Họ cũng sử dụng các công cụ trực tuyến để quét trang web của mình để tìm các vấn đề về nội dung hỗn hợp và khắc phục mọi vấn đề mà họ tìm thấy.

Sử dụng chỉ định tên máy chủ (SNI) để lưu trữ nhiều trang web

Chỉ báo tên máy chủ (SNI) là một phần mở rộng cho TLS giao thức cho phép máy chủ xuất trình nhiều chứng chỉ trên cùng một địa chỉ IP và số cổng. Điều này đặc biệt hữu ích cho các nhà cung cấp dịch vụ lưu trữ web cần lưu trữ nhiều trang web an toàn, mỗi trang web có chứng chỉ SSL riêng, trên cùng một máy chủ.

Đây là cách bạn có thể sử dụng SNI:

  1. Đảm bảo phần mềm máy chủ của bạn hỗ trợ SNI: Bước đầu tiên là đảm bảo rằng phần mềm máy chủ của bạn hỗ trợ SNI. Hầu hết các máy chủ web hiện đại, bao gồm Apache, Nginx và IIS đều hỗ trợ SNI.
  2. Cấu hình máy chủ của bạn: Bước tiếp theo là định cấu hình máy chủ của bạn để sử dụng SNI. Điều này thường liên quan đến việc thêm một khối cấu hình riêng cho từng trang web mà bạn muốn lưu trữ trên máy chủ và chỉ định chứng chỉ SSL để sử dụng cho mỗi trang web. Các bước chính xác sẽ phụ thuộc vào phần mềm máy chủ của bạn.
  3. Kiểm tra cấu hình của bạn: Sau khi định cấu hình máy chủ của mình, bạn nên kiểm tra máy chủ để đảm bảo rằng máy chủ đang sử dụng SNI đúng cách. Bạn có thể thực hiện việc này bằng cách truy cập từng trang web mà bạn đang lưu trữ trên máy chủ và kiểm tra xem chứng chỉ SSL chính xác có đang được sử dụng hay không.

 

Trường hợp sử dụng: Nhà cung cấp dịch vụ lưu trữ sử dụng SNI để phục vụ nhiều trang web từ cùng một địa chỉ IP. Điều này cho phép họ sử dụng hiệu quả không gian địa chỉ IP và đơn giản hóa cấu hình mạng của họ. Họ định cấu hình máy chủ của mình để sử dụng chứng chỉ SSL khác nhau cho từng trang web và họ thường xuyên kiểm tra cấu hình của mình để đảm bảo rằng chứng chỉ chính xác đang được sử dụng cho từng trang web. Điều này đảm bảo rằng mỗi trang web đều có kết nối an toàn, đáng tin cậy, mặc dù tất cả chúng đều được phục vụ từ cùng một địa chỉ IP.

Tối ưu hóa Hiệu suất với Tiếp tục Phiên

Tiếp tục phiên là một tính năng của TLS giao thức cho phép máy khách và máy chủ sử dụng cùng một khóa mã hóa trong nhiều phiên, giảm chi phí thiết lập kết nối an toàn mới mỗi lần. Điều này có thể cải thiện đáng kể hiệu suất, đặc biệt đối với các ứng dụng mà máy khách thường xuyên ngắt kết nối và kết nối lại.

 Đây là cách bạn có thể sử dụng nối lại phiên:

  1. Đảm bảo phần mềm máy chủ của bạn hỗ trợ nối lại phiên: Bước đầu tiên là đảm bảo rằng phần mềm máy chủ của bạn hỗ trợ nối lại phiên. Hầu hết các máy chủ web hiện đại, bao gồm Apache, Nginx và IIS đều hỗ trợ tính năng này.
  2. Cấu hình máy chủ của bạn: Bước tiếp theo là định cấu hình máy chủ của bạn để sử dụng nối lại phiên. Điều này thường liên quan đến việc kích hoạt bộ đệm phiên và đặt giá trị thời gian chờ cho bộ đệm. Các bước chính xác sẽ phụ thuộc vào phần mềm máy chủ của bạn.
  3. Kiểm tra cấu hình của bạn: Sau khi định cấu hình máy chủ của mình, bạn nên kiểm tra máy chủ để đảm bảo rằng máy chủ đang sử dụng chính xác việc nối lại phiên. Bạn có thể làm điều này bằng cách thiết lập một TLS kết nối với máy chủ của bạn, ngắt kết nối rồi kết nối lại. Nếu phiên tiếp tục hoạt động bình thường, kết nối thứ hai sẽ được thiết lập nhanh hơn kết nối đầu tiên.

 

Trường hợp sử dụng: Ứng dụng dành cho thiết bị di động sử dụng tính năng nối lại phiên để duy trì kết nối nhanh và an toàn. Điều này đặc biệt hữu ích khi ứng dụng được sử dụng ở những khu vực có vùng phủ sóng mạng thưa thớt, vì nó cho phép ứng dụng nhanh chóng thiết lập lại kết nối an toàn sau khi mất kết nối. Các nhà phát triển ứng dụng định cấu hình máy chủ của họ để sử dụng tính năng nối lại phiên và họ thường xuyên kiểm tra tính năng này để đảm bảo tính năng này hoạt động bình thường. Điều này đảm bảo rằng ứng dụng có thể cung cấp trải nghiệm nhanh chóng, liền mạch cho người dùng, ngay cả trong điều kiện mạng khó khăn.

 

Đảm bảo tính hợp lệ của chứng chỉ với tính năng dập ghim OCSP

Đóng ghim Giao thức trạng thái chứng chỉ trực tuyến (OCSP) là một phương pháp để cải thiện hiệu suất của SSL/TLS trong khi duy trì tính bảo mật của kết nối. Nó cho phép máy chủ tìm nạp trạng thái hiện tại của các chứng chỉ của chính nó từ Tổ chức phát hành chứng chỉ (CA) và sau đó cung cấp trạng thái đó cho các máy khách trong quá trình TLS bắt tay.

Sau đây là cách bạn có thể thực hiện dập ghim OCSP:

  1. Đảm bảo phần mềm máy chủ của bạn hỗ trợ dập ghim OCSP: Bước đầu tiên là đảm bảo rằng phần mềm máy chủ của bạn hỗ trợ dập ghim OCSP. Hầu hết các máy chủ web hiện đại, bao gồm Apache, Nginx và IIS đều hỗ trợ tính năng này.
  2. Cấu hình máy chủ của bạn: Bước tiếp theo là định cấu hình máy chủ của bạn để sử dụng tính năng dập ghim OCSP. Điều này thường liên quan đến việc kích hoạt tính năng trong SSL/máy chủ của bạn.TLS cấu hình và chỉ định vị trí cho máy chủ lưu trữ phản hồi OCSP. Các bước chính xác sẽ phụ thuộc vào phần mềm máy chủ của bạn.
  3. Kiểm tra cấu hình của bạn: Sau khi định cấu hình máy chủ của mình, bạn nên kiểm tra máy chủ để đảm bảo rằng máy chủ đang sử dụng dập ghim OCSP đúng cách. Bạn có thể làm điều này bằng cách thiết lập một TLS kết nối với máy chủ của bạn và kiểm tra xem máy chủ có phản hồi OCSP trong TLS bắt tay.

 

Trường hợp sử dụng: Nhà bán lẻ trực tuyến sử dụng tính năng dập ghim OCSP để nhanh chóng xác minh trạng thái chứng chỉ SSL của mình. Điều này đảm bảo rằng khách hàng luôn có kết nối an toàn và có thể tin tưởng rằng dữ liệu của họ an toàn. Nhóm CNTT của nhà bán lẻ định cấu hình máy chủ của họ để sử dụng tính năng dập ghim OCSP và họ thường xuyên kiểm tra tính năng này để đảm bảo tính năng này hoạt động chính xác. Điều này giúp duy trì lòng tin của khách hàng và bảo vệ dữ liệu nhạy cảm của họ.

 

Vô hiệu hoá TLS Nén để giảm thiểu tấn công CRIME

TLS nén là một tính năng có thể cải thiện hiệu suất của SSL/TLS bằng cách giảm lượng dữ liệu cần gửi qua mạng. Tuy nhiên, nó cũng có thể làm cho kết nối dễ bị tấn công CRIME (Compression Ratio Info-leak Made Easy), có thể cho phép kẻ tấn công suy ra nội dung của lưu lượng được mã hóa.

Đây là cách bạn có thể vô hiệu hóa TLS nén: 

  1. Đảm bảo phần mềm máy chủ của bạn hỗ trợ vô hiệu hóa TLS Nén: Bước đầu tiên là đảm bảo rằng phần mềm máy chủ của bạn hỗ trợ vô hiệu hóa TLS nén. Hầu hết các máy chủ web hiện đại, bao gồm Apache, Nginx và IIS đều hỗ trợ tính năng này.
  2. Cấu hình máy chủ của bạn: Bước tiếp theo là định cấu hình máy chủ của bạn để tắt TLS nén. Các bước chính xác sẽ phụ thuộc vào phần mềm máy chủ của bạn. Ví dụ: trong Apache, bạn có thể thêm một dòng như thế này vào tệp cấu hình của mình:
Tắt nén SSL

Dòng này báo cho máy chủ không sử dụng tính năng nén cho SSL/TLS kết nối.

  1. Kiểm tra cấu hình của bạn: Sau khi định cấu hình máy chủ của mình, bạn nên kiểm tra để đảm bảo rằng nó đang tắt chính xác TLS nén. Bạn có thể làm điều này bằng cách thiết lập một TLS kết nối với máy chủ của bạn và kiểm tra xem kết nối có đang sử dụng tính năng nén hay không.

 

Trường hợp sử dụng: Một tổ chức tài chính vô hiệu hóa TLS nén trên các máy chủ của mình để bảo vệ chống lại cuộc tấn công TỘI ÁC. Điều này giúp đảm bảo tính bảo mật của dữ liệu tài chính nhạy cảm, chẳng hạn như số tài khoản và chi tiết giao dịch. Nhóm CNTT của tổ chức định cấu hình máy chủ của họ để vô hiệu hóa TLS nén và họ thường xuyên kiểm tra các máy chủ để đảm bảo rằng chúng đang triển khai đúng biện pháp bảo mật này. Điều này giúp bảo vệ khách hàng của tổ chức và duy trì lòng tin của họ.

Thực hiện TLS Vé phiên chính xác

TLS vé phiên là một tính năng của TLS giao thức có thể cải thiện hiệu suất bằng cách cho phép máy khách và máy chủ tiếp tục phiên trước đó mà không cần thực hiện bắt tay đầy đủ. Tuy nhiên, chúng cần được triển khai chính xác để tránh các vấn đề bảo mật tiềm ẩn.

Đây là cách bạn có thể triển khai chính xác TLS vé phiên:

  1. Đảm bảo hỗ trợ phần mềm máy chủ của bạn TLS Vé phiên: Bước đầu tiên là đảm bảo rằng phần mềm máy chủ của bạn hỗ trợ TLS vé phiên. Hầu hết các máy chủ web hiện đại, bao gồm Apache, Nginx và IIS đều hỗ trợ tính năng này.
  2. Cấu hình máy chủ của bạn: Bước tiếp theo là cấu hình máy chủ của bạn để sử dụng TLS vé phiên. Điều này thường liên quan đến việc kích hoạt tính năng trong SSL/máy chủ của bạn.TLS cấu hình. Các bước chính xác sẽ phụ thuộc vào phần mềm máy chủ của bạn.
  3. Sử dụng khóa vé phiên duy nhất: Để ngăn chặn các sự cố bảo mật tiềm ẩn, mỗi máy chủ nên sử dụng một khóa thẻ phiên duy nhất. Nếu đang sử dụng bộ cân bằng tải, bạn nên định cấu hình bộ cân bằng tải để phân phối ứng dụng khách dựa trên phiếu phiên của họ, thay vì cho phép khách hàng sử dụng phiếu phiên do một máy chủ cấp để thiết lập phiên với máy chủ khác.
  4. Thường xuyên xoay khóa vé phiên: Để tăng cường bảo mật hơn nữa, bạn nên thường xuyên luân phiên các khóa phiếu phiên của mình. Điều này thường có thể được tự động hóa bằng phần mềm máy chủ của bạn hoặc một hệ thống quản lý khóa riêng biệt.

 

Trường hợp sử dụng: Một công ty công nghệ lớn có nhiều máy chủ đảm bảo rằng mỗi máy chủ sử dụng một khóa vé phiên duy nhất. Điều này ngăn kẻ tấn công có thể sử dụng vé phiên từ một máy chủ để mạo danh người dùng trên một máy chủ khác. Nhóm CNTT của công ty định cấu hình máy chủ của họ để sử dụng TLS vé phiên và họ thiết lập một hệ thống để thường xuyên luân phiên các khóa vé phiên. Họ cũng định cấu hình bộ cân bằng tải của mình để phân phối ứng dụng khách dựa trên vé phiên của họ, tăng cường hơn nữa tính bảo mật cho hệ thống của họ.

Kích hoạt thương lượng lại an toàn

Đàm phán lại an toàn là một tính năng của SSL/TLS các giao thức cho phép máy khách hoặc máy chủ yêu cầu một TLS bắt tay ở giữa một phiên. Điều này có thể hữu ích vì nhiều lý do, chẳng hạn như làm mới khóa mã hóa hoặc thay đổi mức độ mã hóa. Tuy nhiên, nếu không được xử lý an toàn, kẻ tấn công có thể khai thác nó để đưa văn bản gốc vào giao tiếp được mã hóa.

Đây là cách bạn có thể kích hoạt thương lượng lại an toàn:

  1. Đảm bảo phần mềm máy chủ của bạn hỗ trợ đàm phán lại an toàn: Bước đầu tiên là đảm bảo rằng phần mềm máy chủ của bạn hỗ trợ đàm phán lại an toàn. Hầu hết các máy chủ web hiện đại, bao gồm Apache, Nginx và IIS đều hỗ trợ tính năng này.
  2. Cấu hình máy chủ của bạn: Bước tiếp theo là định cấu hình máy chủ của bạn để sử dụng thương lượng lại an toàn. Điều này thường liên quan đến việc kích hoạt tính năng trong SSL/máy chủ của bạn.TLS cấu hình. Các bước chính xác sẽ phụ thuộc vào phần mềm máy chủ của bạn.
  3. Kiểm tra cấu hình của bạn: Sau khi định cấu hình máy chủ của mình, bạn nên kiểm tra máy chủ để đảm bảo rằng máy chủ đang sử dụng đúng cách bằng cách thương lượng lại an toàn. Bạn có thể làm điều này bằng cách thiết lập một TLS kết nối với máy chủ của bạn và sau đó cố gắng đàm phán lại kết nối.

 

Trường hợp sử dụng: Nền tảng truyền thông xã hội cho phép đàm phán lại an toàn để bảo vệ dữ liệu người dùng. Điều này ngăn kẻ tấn công đưa nội dung độc hại vào giao tiếp được mã hóa giữa người dùng và máy chủ. Nhóm CNTT của nền tảng định cấu hình máy chủ của họ để sử dụng thương lượng lại an toàn và họ thường xuyên kiểm tra máy chủ để đảm bảo chúng đang triển khai đúng biện pháp bảo mật này. Điều này giúp bảo vệ người dùng của nền tảng và duy trì lòng tin của họ.

Vô hiệu hóa đàm phán lại do khách hàng bắt đầu để ngăn chặn các cuộc tấn công DoS

Đàm phán lại do khách hàng bắt đầu là một tính năng của SSL/TLS các giao thức cho phép khách hàng yêu cầu một TLS bắt tay ở giữa một phiên. Tuy nhiên, nếu kẻ tấn công có thể buộc máy chủ liên tục đàm phán lại các phiên, thì hành động đó có thể tiêu tốn quá nhiều tài nguyên và có khả năng dẫn đến một cuộc tấn công từ chối dịch vụ (DoS).

Đây là cách bạn có thể vô hiệu hóa quá trình đàm phán lại do khách hàng thực hiện:

  1. Đảm bảo phần mềm máy chủ của bạn hỗ trợ vô hiệu hóa đàm phán lại do khách hàng bắt đầu: Bước đầu tiên là đảm bảo rằng phần mềm máy chủ của bạn hỗ trợ vô hiệu hóa tính năng đàm phán lại do khách hàng khởi tạo. Hầu hết các máy chủ web hiện đại, bao gồm Apache, Nginx và IIS đều hỗ trợ tính năng này.
  2. Cấu hình máy chủ của bạn: Bước tiếp theo là định cấu hình máy chủ của bạn để tắt tính năng thương lượng lại do máy khách khởi tạo. Điều này thường liên quan đến việc thêm một lệnh vào SSL/máy chủ của bạnTLS cấu hình. Các bước chính xác sẽ phụ thuộc vào phần mềm máy chủ của bạn.
  3. Kiểm tra cấu hình của bạn: Sau khi định cấu hình máy chủ của mình, bạn nên kiểm tra máy chủ để đảm bảo rằng máy chủ đang vô hiệu hóa chính xác tính năng đàm phán lại do máy khách khởi xướng. Bạn có thể làm điều này bằng cách thiết lập một TLS kết nối với máy chủ của bạn và sau đó cố gắng đàm phán lại kết nối. Nếu máy chủ từ chối yêu cầu đàm phán lại một cách chính xác thì máy chủ đó đã được định cấu hình đúng.

 

Trường hợp sử dụng: Một nền tảng trò chơi trực tuyến vô hiệu hóa quá trình thương lượng lại do khách hàng thực hiện để bảo vệ chống lại các cuộc tấn công DoS tiềm ẩn. Điều này giúp đảm bảo rằng nền tảng vẫn có sẵn cho người dùng sử dụng, ngay cả khi đối mặt với các cuộc tấn công tiềm tàng. Nhóm CNTT của nền tảng định cấu hình máy chủ của họ để vô hiệu hóa quá trình đàm phán lại do khách hàng thực hiện và họ thường xuyên kiểm tra các máy chủ để đảm bảo chúng đang triển khai đúng biện pháp bảo mật này. Điều này giúp bảo vệ người dùng của nền tảng và duy trì lòng tin của họ.

Cảnh báo cho các lỗ hổng mới

Bảo mật web là một mục tiêu di chuyển liên tục và bạn phải luôn đề phòng cuộc tấn công tiếp theo và áp dụng kịp thời các bản vá bảo mật trên máy chủ của mình. Điều này có nghĩa là đọc và giữ liên lạc với những gì sắp xảy ra khi nói đến bảo mật thông tin cũng như luôn cập nhật phần mềm - đặc biệt là những bản cập nhật quan trọng. Trang web của SSL.com (nơi bạn đang đọc bài viết này ngay bây giờ) là một nguồn tuyệt vời để cập nhật SSL /TLS và bảo mật thông tin.

Nhưng còn…?

Nếu bạn muốn biết thêm về bất kỳ chủ đề nào được đề cập trong hướng dẫn này và tìm hiểu về các vấn đề và công nghệ mới khi chúng phát sinh, bạn có thể bắt đầu bằng cách duyệt và tìm kiếm trên SSL.com Kiến thức, được chúng tôi cập nhật hàng tuần với những phát triển mới trong lĩnh vực SSL /TLS và PKI. Bạn cũng có thể thoải mái liên hệ với nhân viên hỗ trợ của chúng tôi bất cứ lúc nào qua email tại Support@SSL.com, qua điện thoại theo số 1-877-SSL-Secure hoặc bằng cách nhấp vào liên kết trò chuyện ở góc dưới bên phải của trang này.

SSL.com cung cấp nhiều loại SSL /TLS chứng chỉ máy chủ cho các trang web HTTPS.

SO SÁNH SSL /TLS CHỨNG CHỈ

 

Nhận lời khuyên của chuyên gia về chứng chỉ SSL.
Hoàn thành mẫu để được tư vấn.

Twitter
Facebook
LinkedIn
Reddit
E-mail

Luôn cập nhật thông tin và bảo mật

SSL.com là công ty hàng đầu thế giới về an ninh mạng, PKI và chứng chỉ số. Đăng ký để nhận tin tức, thủ thuật và thông báo sản phẩm mới nhất trong ngành từ SSL.com.

Chúng tôi rất mong nhận được phản hồi của bạn

Hãy tham gia cuộc khảo sát của chúng tôi và cho chúng tôi biết suy nghĩ của bạn về lần mua hàng gần đây của bạn.