- PVSM.RU - https://www.pvsm.ru -

SSL. Безопасность передачи данных

Как давно вы проверяли надежность своего SSL? Мало просто купить SSL сертификат и его установить, нужно его и настроить.

Почему это важно. Внешний анализ безопасности (ручной или автоматический) обычно начинается с проверки SSL-конфигурации. SSL конфигурация обычно показывает общий уровень защищенности всей системы защиты данных. Поэтому продвинутые пользователи начинают слать запросы типа “как вы можете защитить мои персональные данные, если у вас ещё SSL v3 включён”. В рамках GDPR надежная настройка SSL относится к техническим мерам по защите персональных данных.

Тестирование конфигурации SSL

Проблемы связанные с версиями SSL протоколов:

  • SSL v2 небезопасен, устарел и не рекомендуется для использования. См. атаку DROWN [1] по этому протоколу.
  • SSL v3 небезопасен и устаревший инструмент. См. атаку POODLE [2].
  • TLS v1.0 также является устаревшим протоколом, но на практике он все же оказывается необходим. Его основная слабость (BEAST [3]) была смягчена в современных браузерах.
  • TLS v1.1 и TLS v1.2 оба не имеют известных проблем с безопасностью, но только v1.2 предоставляет современные криптографические алгоритмы.

SSL 2.0, SSL 3.0 и TLS 1.0 настоятельно рекомендуется отключить, так как большинство стандартов безопасности их уже давно не поддерживают (например, PCI DSS 3.1).

Рекомендуемые протоколы TLS v1.1 и TLS v1.2 с актуальными алгоритмами шифрование и снятия хэшей.

Анализ конфигурации SSL

Есть замечательный инструмент SSLLabs Test Tool [4] для проверки тестирования надёжности конфигурации SSL.

A+ и А — это наилучший показатель конфигурация SSL. F — наихудший уровень.

Пример теста SSL для одного из наших сайтов продуктов

image

Ниже приведен еще один пример того, как быстро проверить уровень SSL-конфигурации с помощью инструмента nmap [5]:

image

Надежные шифры

Низкий уровень конфигурации SSL в большинстве случаев связан с использованием устаревших и слабых алгоритмов шифрования.

Этот ресурс [6] предоставляет информацию о том, как настроить хорошие SSL-алгоритмы на Apache, nginx, HAProxy и т. д.

Конфигурация на Nginx

Ниже приведен пример конфигурации веб-серверов на nginx, которые повысили настройку SSL с уровня B до A + и повысили защиту системы:

image

Конфигурация на Windows

Windows Server 2016 и выше уже имеют конфигурацию SSL, которая соответствует действующим регламентам безопасности (например, SSL v2 и SSL v3 отключены).

В более ранних версиях Windows Servers (2008, 2012) SSL v3 все еще включен, т. е. Вам необходимо вручную отключить устаревшие протоколы. См. рекомендации Microsoft: как отключить PCT 1.0, SSL 2.0, SSL 3.0 или TLS 1.0 [7]

Мы используем инструмент IIS Crypto tool [8], который предоставляет графический интерфейс для отключения слабых шифров и устаревших протоколов. Это позволяет избежать опасной ручной работы с реестром Windows.

Использование SSLLabs Test Tool [4], его советов и функциональных возможностей позволяет быстро защитить SSL / TLS на Windows.

Реальный пример конфигурации SSL для Windows Server 2012 R2

image

Автор — Денис Колошко, CISSP

Автор: dhound

Источник [9]

Сайт-источник PVSM.RU: https://www.pvsm.ru

Путь до страницы источника: https://www.pvsm.ru/informatsionnaya-bezopasnost/279060

Ссылки в тексте:

[1] DROWN: https://drownattack.com/

[2] POODLE: https://blog.qualys.com/ssllabs/2014/10/15/ssl-3-is-dead-killed-by-the-poodle-attack

[3] BEAST: https://blog.qualys.com/ssllabs/2013/09/10/is-beast-still-a-threat

[4] SSLLabs Test Tool: https://www.ssllabs.com/ssltest/

[5] nmap: https://nmap.org/

[6] ресурс: https://cipherli.st/

[7] как отключить PCT 1.0, SSL 2.0, SSL 3.0 или TLS 1.0 : https://support.microsoft.com/en-us/help/187498/how-to-disable-pct-1-0-ssl-2-0-ssl-3-0-or-tls-1-0-in-internet-informat

[8] IIS Crypto tool: https://www.nartac.com/Products/IISCrypto/Download

[9] Источник: https://habr.com/post/354582/?utm_source=habrahabr&utm_medium=rss&utm_campaign=354582