Сіздің веб -серверіңізде SSL қызметтерін күшейту (Apache/ Linux): 3 қадам

2024 Автор: John Day | [email protected]. Соңғы өзгертілген: 2024-01-30 10:27

Бұл киберқауіпсіздіктің бір аспектісіне қатысты өте қысқа нұсқаулық - сіздің веб -серверіңіздегі ssl қызметінің күші. Негізгі ақпарат-сіздің веб-сайтыңыздағы ssl қызметтері сіздің веб-сайтыңызға және одан берілетін деректерді ешкім бұза алмайтынын қамтамасыз ету үшін пайдаланылады. OpenSSL -дегі Heartbleed қатесі және SSL 3.0 осалдығын пайдаланатын Poodle қатесі сияқты SSL осал қызметтеріне жақсы жарияланған шабуылдар болды. (Бұл аймақ жылжымалы мақсат болып табылады, сондықтан сіз SSL тестілеуді ISO 27001 жоспарын тексеру-әрекет ету (PDCA) цикліне енгізуіңіз керек.)

Танымал провайдер сертификатын қолдана отырып, сіздің веб -сайтыңызға ssl орнатылған кезде, сіз өзіңіздің веб -сайтыңызға https://yourdomain.com сайтынан кіруге болатынын көресіз. Бұл дегеніміз, деректер шифрланған форматта алға -артқа жіберіледі. Керісінше, https://yourdomain.com немесе әлсіз шифрлау жіберілген деректерді анық мәтінге шығарады, бұл тіпті кішкентай хакер сіздің құпия сөз деректеріңізге және т.б. Wireshark сияқты қол жетімді құралдарды қолдана алады дегенді білдіреді.

Бұл оқулықтың қалған бөлігінде сіз Apache -ді Linux -те веб -сервер ретінде қолданасыз деп ойлаймын және сіздің веб -серверіңізге замазка сияқты терминал эмуляторы арқылы кіруге болады деп ойлаймын. Қарапайымдылық үшін мен сіздің провайдеріңіз SSL сертификатын берді деп ойлаймын және сізде оның кейбір аспектілерін қайта конфигурациялау мүмкіндігі бар.

1 -қадам: SSL қызметінің беріктігін тексеру

Тек https://www.ssllabs.com/ssltest/ сайтына кіріп, домен атауын Хост атауы жолағының жанына енгізіп, «Нәтижелерді тақталарда көрсетпеу» құсбелгісін қойып, жіберу түймесін басыңыз. (Назар аударыңыз, сіз ешқандай домендерді алдын ала рұқсатсыз тексермеуіңіз керек және нәтижелерді тақталарда ешқашан көрсетпеуіңіз керек.)

Тесттер аяқталғаннан кейін сізге F+A+дейін балл беріледі. Сізге егжей -тегжейлі тестілеу нәтижелері беріледі, бұл сізге тағайындалған баллдың не үшін берілгенін түсінуге мүмкіндік береді.

Сәтсіздіктің әдеттегі себептері - шифрлар немесе протоколдар сияқты ескірген компоненттерді қолданғандықтан. Мен жақын арада шифрларға тоқталамын, бірақ алдымен криптографиялық хаттамалар туралы.

Криптографиялық хаттамалар компьютерлік желі арқылы байланыс қауіпсіздігін қамтамасыз етеді. … Байланыс жеке (немесе қауіпсіз), себебі симметриялы криптография берілген деректерді шифрлау үшін қолданылады. Екі негізгі хаттама - TLS және SSL. Соңғысына қолдануға тыйым салынған, ал өз кезегінде TLS дамып келеді, сондықтан мен оны жазған кезде, соңғы нұсқа 1.3 форматында болса да, жоба түрінде. Іс жүзінде, 2018 жылдың қаңтарындағыдай, сізде тек TLS v 1.2 болуы керек. қосылды. TLV v 1.3 нұсқасына көшу болуы мүмкін. 2018 ж. Qualys тесті сіз қандай криптографиялық протоколдар қолданғанын көрсетеді және егер сіз TLS v 1.2 төменде қолдансаңыз, сіз нашар балл аласыз.

Криптографиялық хаттамалар туралы айтатын соңғы нәрсе, GoDaddy сияқты негізгі Интернет -провайдерден веб -пакет пен SSL сертификатын сатып алғанда, бұл TLS v 1.2 болады. бұл жақсы, бірақ одан әрі, TLS v 1.3 деп айту үшін жаңарту қиын болуы мүмкін. Мен жеке SSL сертификаттарын орнатамын, сондықтан мен өз тағдырымды басқарамын, былайша айтқанда.

2 -қадам: SSL -ге өзгерістер енгізу үшін Apache -ді қайта конфигурациялау

Qualys SSL тестінде тексерілетін маңызды бағыттардың бірі және осы бөлімде фокусталған шифрлау жиілігі анықталатын шифр жиынтығы болып табылады. Міне, менің домендердің бірінде Qualys SSL тестінен алынған мысал.

Шифр Suites # TLS 1.2 (сервер-артықшылықты мақсатында люкс) TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (0xc030) ECDH secp256r1 (EQ. 3072 бит RSA) FS256TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (0xc02f) ECDH secp256r1 (EQ. 3072 бит RSA) FS128TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (0xc028) ECDH secp256r1 (EQ. 3072 бит RSA) FS256TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (0xc027) ECDH secp256r1 (3072 биттік RSA) FS128

Сіз Qualys тест есебінен қызыл сызықтарды (сәтсіздіктерді) жою үшін Apache конфигурациясын қайта конфигурациялауға көп уақыт жұмсай аласыз, бірақ мен Cipher Suite ең жақсы параметрлерін алу үшін келесі әдісті ұсынамын.

1) Apache веб -сайтына кіріңіз және шифр пакетін пайдалану үшін олардың ұсыныстарын алыңыз. Жазу кезінде мен мына сілтемеге кірдім -

2) Apache конфигурация файлына ұсынылған параметрді қосыңыз және Apache қайта іске қосыңыз. Бұл мен қолданған олардың ұсынған параметрі болды.

SSLCipherSuite ECDHE-ECDSA-AES256-GCM-SHA384: ECDHE-RSA-AES256-GCM-SHA384: ECDHE-ECDSA-CHACHA20-POLY1305: ECDHE-RSA-CHAHA20-PACHE-ECD-E30-ECH-E30H: ECDHE-RSA-AES256-GCM-SHA384 -AES128-GCM-SHA256: ECDHE-ECDSA-AES256-SHA384: ECDHE-RSA-AES256-SHA384: ECDHE-ECDSA-AES128-SHA256: ECDHE-RSA-AES128-SHA256

Ескертулер - Мәселелердің бірі - SSLCipherSuite директивасын өзгерту қажет болатын файлды табу, ол үшін Putty -ге кіріп, etc каталогына кіріңіз (sudo cd /etc) apache2 немесе http сияқты apache каталогын іздеңіз. Содан кейін apache каталогында келесідей іздеңіз: grep -r «SSLCipherSuite» /etc /apache2 - Бұл сізге ұқсас нәтиже береді:

/etc/apache2/mods-available/ssl.conf:#SSLCipherSuite HIGH: MEDIUM:! aNULL:! MD5:! RC4:! DES/etc/apache2/mods-available/ssl.conf: #SSLCipherSuite HIGH:! aNULL: ! MD5:! RC4:! DES /etc/apache2/mods-available/ssl.conf:#SSLCipherSuite ECDH+AESGCM: DH+AESGCM: ECDH+AES256: DH+AES256: ECDH+AES128: DH+AES: ECDH+3DES: DH+3DES: RSA+AESGCM: RSA+AES: RSA+3DES:! ANULL:! MD5:! DSS

Айта кету керек, файл /etc/apache2/mods-available/ssl.conf немесе сіздікі. Файлды nano сияқты редактормен ашып, # SSL Cipher Suite бөліміне өтіңіз:. Содан кейін SSLCipherSuite директивасындағы бар жазбаны Apache веб -сайтындағы жоғарыдағы жазбамен ауыстырыңыз. Ескі SSLCipherSuite директиваларына түсініктеме беруді ұмытпаңыз және Apache -ді қайта іске қосыңыз - менің жағдайда, мен мұны sudo /etc/init.d/apache2 теру арқылы жасадым

Назар аударыңыз, кейде сізге ұсынылатын Apache параметрлерін қолдансаңыз да, сізге Qualys SSL тестінің төмен бағасын беретін арнайы шифрларды жою қажет болуы мүмкін (мысалы, жаңа осалдықтар ашылды). Мысалы, Qualys есебінде TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (0xc030) келесі жол қызыл түспен (сәтсіз) пайда болса, бірінші қадам - Apache SSLCipherSuite директивасында қандай кодты өзгерту керек екенін табу. Кодты табу үшін https://www.openssl.org/docs/man1.0.2/apps/ciphers… өтіңіз-бұл кодты келесідей көрсетеді: TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 ECDHE-RSA-AES256-GCM-SHA384

ECDHE-RSA-AES256-GCM-SHA384 алыңыз және оны Apache Apache SSLCipherSuite директивасы ретінде қосқан жазбадан алып тастаңыз, содан кейін оны соңына қосыңыз:!

Тағы да Apache -ді қайта іске қосыңыз және қайта тексеріңіз

3 -қадам: Қорытынды

Сізде SSL тестілеу туралы бірдеңе білдіңіз. Бұл туралы білуге болатын көп нәрсе бар, бірақ мен сізге дұрыс бағыт бердім деп үміттенемін. Келесі оқулықтарда мен киберқауіпсіздіктің басқа салаларын қарастыратын боламын, сондықтан сақ болыңыз.