SSL-services op uw webserver (Apache/Linux) versterken: 3 stappen

2024 Auteur: John Day | [email protected]. Laatst gewijzigd: 2024-01-30 11:19

Dit is een zeer korte tutorial over één aspect van cyberbeveiliging: de kracht van de ssl-service op uw webserver. De achtergrond is dat ssl-services op uw website worden gebruikt om ervoor te zorgen dat niemand gegevens kan hacken die van en naar uw website worden verzonden. Er zijn veel gepubliceerde aanvallen op kwetsbare SSL-services geweest, zoals de Heartbleed-bug in OpenSSL en de Poodle-bug die misbruik maakte van SSL 3.0-kwetsbaarheden. (Dit gebied is een bewegend doelwit, dus u moet SSL-testen inbouwen in uw ISO 27001 plan-do-check-act (PDCA)-cyclus.)

Wanneer ssl op uw website is geïnstalleerd met een certificaat van een erkende provider, ziet u dat uw website toegankelijk is vanaf https://uwdomein.com. Dit betekent dat gegevens in gecodeerd formaat heen en weer worden verzonden. Daarentegen stelt https://uwdomein.com of zwakke versleuteling de verzonden gegevens in duidelijke tekst bloot, wat betekent dat zelfs een kleine hacker toegang kan krijgen tot uw wachtwoordgegevens enz. met behulp van gemakkelijk beschikbare tools zoals Wireshark.

Voor de rest van deze tutorial ga ik ervan uit dat je Apache gaat gebruiken als je webserver op Linux en dat je toegang hebt tot je webserver via een terminalemulator zoals putty. Voor de eenvoud ga ik er ook van uit dat je ISP je SSL-certificaat heeft verstrekt en dat je de mogelijkheid hebt om sommige aspecten ervan opnieuw te configureren.

Stap 1: Test de kracht van uw SSL-service

Ga gewoon naar https://www.ssllabs.com/ssltest/ en voer uw domeinnaam in naast het vak Hostnaam en selecteer het selectievakje "De resultaten niet op de borden weergeven" en klik op de verzendknop. (Houd er rekening mee dat u geen domeinen mag testen zonder voorafgaande toestemming en dat u nooit resultaten op de borden mag laten zien.)

Nadat de tests zijn uitgevoerd, krijgt u een score van F tot A+. U krijgt gedetailleerde testresultaten die u hopelijk duidelijk maken waarom u uw toegewezen score heeft gekregen.

De gebruikelijke redenen voor falen zijn omdat u verouderde componenten gebruikt, zoals cijfers of protocollen. Ik zal me binnenkort concentreren op cijfers, maar eerst een kort woord over cryptografische protocollen.

Cryptografische protocollen bieden communicatiebeveiliging via een computernetwerk. … De verbinding is privé (of beveiligd) omdat symmetrische cryptografie wordt gebruikt om de verzonden gegevens te versleutelen. De twee belangrijkste protocollen zijn TLS en SSL. De laatste mag niet worden gebruikt en op zijn beurt evolueert TLS en terwijl ik dit schrijf, is de nieuwste versie 1.3, zij het in conceptformaat. Praktisch gezien zou je in januari 2018 alleen TLS v 1.2 moeten hebben. ingeschakeld. Er zal waarschijnlijk een overstap naar TLV v 1.3 plaatsvinden. tijdens 2018. De Qualys-test zal aangeven welke cryptografische protocollen u hebt toegepast en momenteel, als u TLS v 1.2. gebruikt, krijgt u een slechte score.

Een laatste ding om te zeggen over cryptografische protocollen: wanneer u een webpakket en SSL-certificaat koopt van een reguliere ISP zoals GoDaddy, zal dit TLS v 1.2 zijn. wat goed is, maar verderop in de lijn vind je het misschien moeilijk om te upgraden naar TLS v 1.3. Persoonlijk installeer ik mijn eigen SSL-certificaten en heb ik dus als het ware mijn eigen lot in handen.

Stap 2: Apache opnieuw configureren om SSL-wijzigingen aan te brengen

Een van de belangrijke gebieden die wordt getest in de Qualys SSL-test en de focus van deze sectie is Cipher-suites die de coderingssterkte van uw verzonden gegevens bepalen. Hier is een voorbeelduitvoer van een Qualys SSL-test op een van mijn domeinen.

Coderingsseries # TLS 1.2 (suites in serverzijde voorkeursvolgorde) TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (0xc030) ECDH secp256r1 (eq. 3072 bit RSA) FS256TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (0xc02f) ECDH secp256r1 (eq. 3072 bit RSA) FS128TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (0xc028) ECDH secp256r1 (eq. 3072 stukjes RSA) FS256TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (0xc027) ECDH secp256r1 (eq. 3072 bits RSA) FS128

U kunt veel tijd besteden aan het opnieuw configureren van uw Apache-configuratie om rode lijnen (mislukten) uit uw Qualys-testrapport te verwijderen, maar ik raad de volgende aanpak aan om de beste Cipher Suite-instellingen te krijgen.

1) Bezoek de Apache-website en lok hun aanbevelingen uit voor een Cipher Suite om te gebruiken. Op het moment van schrijven volgde ik deze link -

2) Voeg de aanbevolen instelling toe aan uw Apache-configuratiebestand en start Apache opnieuw. Dit was hun aanbevolen instelling die ik gebruikte.

SSLCipherSuite ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AESH128-GCM-SHE -AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256

Opmerkingen - Een van de uitdagingen is om te vinden welk bestand je nodig hebt om je SSLCipherSuite-richtlijn te wijzigen. Log hiervoor in op Putty en log in op de etc-directory (sudo cd /etc). Zoek naar een apache-directory zoals apache2 of http. Zoek vervolgens als volgt in de apache-map: grep -r "SSLCipherSuite" /etc/apache2 - Dit geeft u een uitvoer die lijkt op deze:

/etc/apache2/mods-available/ssl.conf:#SSLcipherSuite HIGH:MEDIUM:!aNULL:!MD5:!RC4:!DES/etc/apache2/mods-available/ssl.conf:#SSLcipherSuite HIGH:!aNULL: !MD5:!RC4:!DES /etc/apache2/mods-available/ssl.conf:#SSLcipherSuite ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+3DES:DH+3DES:RSA+AESGCM:RSA+AES:RSA+3DES:!aNULL:!MD5:!DSS

Het belangrijkste om op te merken is het bestand /etc/apache2/mods-available/ssl.conf of wat dan ook van jou. Open het bestand met een editor zoals nano en ga naar de sectie # SSL Cipher Suite:. Vervang vervolgens het bestaande item in de richtlijn SSLCipherSuite door het bovenstaande van de Apache-website. Onthoud commentaar op oudere SSLCipherSuite-richtlijnen en start Apache opnieuw - in mijn geval deed ik dit door sudo /etc/init.d/apache2 restart te typen

Houd er rekening mee dat u soms specifieke cijfers moet verwijderen die u een lage Qualys SSL-testscore geven (bijvoorbeeld omdat er nieuwe kwetsbaarheden zijn ontdekt), ook al heeft u de aanbevolen Apache-instellingen gebruikt. Een voorbeeld is als de volgende regel rood (fail) in uw Qualys-rapport verschijnt TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (0xc030) De eerste stap is om te zoeken welke code u moet wijzigen in uw Apache SSLCipherSuite-richtlijn. Om de code te vinden, ga naar https://www.openssl.org/docs/man1.0.2/apps/ciphers… - dit toont de code als volgt: TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 ECDHE-RSA-AES256-GCM-SHA384

Neem ECDHE-RSA-AES256-GCM-SHA384 en verwijder het uit het item dat u hebt toegevoegd als de Apache Apache SSLCipherSuite-richtlijn en voeg het vervolgens toe aan het einde door het vooraf te laten gaan met:!

Nogmaals, herstart Apache en test opnieuw

Stap 3: Conclusie

Ik heb dat je iets hebt geleerd over SSL-testen. Hier valt nog veel meer over te leren, maar hopelijk heb ik je in de goede richting gewezen. In mijn volgende tutorials zal ik andere gebieden van cyberbeveiliging behandelen, dus houd ons in de gaten.