Tăng cường dịch vụ SSL trên máy chủ web của bạn (Apache / Linux): 3 bước

2024 Tác giả: John Day | [email protected]. Sửa đổi lần cuối: 2024-01-30 13:35

Đây là một hướng dẫn rất ngắn liên quan đến một khía cạnh của an ninh mạng - điểm mạnh của dịch vụ ssl trên máy chủ web của bạn. Cơ sở là các dịch vụ ssl trên trang web của bạn được sử dụng để đảm bảo rằng không ai có thể hack dữ liệu đang được truyền đến và đi từ trang web của bạn. Đã có nhiều cuộc tấn công công khai vào các dịch vụ SSL dễ bị tấn công như lỗi Heartbleed trong OpenSSL và lỗi Poodle khai thác lỗ hổng SSL 3.0. (Khu vực này là một mục tiêu di động, vì vậy bạn cần xây dựng thử nghiệm SSL vào chu trình lập kế hoạch-thực hiện-kiểm tra (PDCA) ISO 27001 của mình).

Khi ssl được cài đặt trên trang web của bạn bằng chứng chỉ từ một nhà cung cấp được công nhận, bạn sẽ thấy rằng trang web của mình có thể được truy cập từ https://yourdomain.com. Điều này có nghĩa là dữ liệu được truyền qua lại ở định dạng được mã hóa. Ngược lại, https://yourdomain.com hoặc mã hóa yếu làm lộ dữ liệu được truyền ở dạng văn bản rõ ràng, có nghĩa là ngay cả một tin tặc trẻ con cũng có thể truy cập dữ liệu mật khẩu của bạn, v.v. bằng các công cụ sẵn có như Wireshark.

Đối với phần còn lại của hướng dẫn này, tôi giả định rằng bạn sẽ sử dụng Apache làm máy chủ web của mình trên Linux và bạn có quyền truy cập vào máy chủ web của mình thông qua trình giả lập đầu cuối như putty. Để đơn giản, tôi cũng sẽ giả định rằng ISP của bạn đã cung cấp chứng chỉ SSL của bạn và bạn có khả năng định cấu hình lại một số khía cạnh của nó.

Bước 1: Kiểm tra sức mạnh của dịch vụ SSL của bạn

Chỉ cần truy cập https://www.ssllabs.com/ssltest/ và nhập tên miền của bạn bên cạnh hộp Tên máy chủ và chọn hộp kiểm "Không hiển thị kết quả trên bảng" và nhấp vào nút gửi. (Xin lưu ý rằng bạn không nên kiểm tra bất kỳ miền nào mà không có sự cho phép trước và bạn không bao giờ được hiển thị kết quả trên bảng.)

Sau khi các bài kiểm tra đã được chạy, bạn sẽ được chỉ định điểm từ F đến A +. Bạn sẽ được cung cấp một kết quả kiểm tra chi tiết, hy vọng sẽ giúp bạn hiểu rõ lý do tại sao bạn được cho điểm được chỉ định.

Các lý do thông thường dẫn đến lỗi là do bạn đang sử dụng các thành phần lỗi thời như mật mã hoặc giao thức. Tôi sẽ sớm tập trung vào mật mã nhưng trước tiên là một từ ngắn gọn về các giao thức mật mã.

Các giao thức mật mã cung cấp bảo mật thông tin liên lạc qua mạng máy tính. … Kết nối là riêng tư (hoặc an toàn) vì mật mã đối xứng được sử dụng để mã hóa dữ liệu được truyền. Hai giao thức chính là TLS và SSL. Phiên bản thứ hai bị cấm sử dụng và đến lượt nó, TLS đang phát triển và vì vậy khi tôi viết bài này, phiên bản mới nhất là 1.3, mặc dù ở định dạng nháp. Về mặt thực tế, kể từ tháng 1 năm 2018, bạn chỉ nên có TLS v 1.2. được kích hoạt. Có thể sẽ có một chuyển sang TLV v 1.3. trong năm 2018. Bài kiểm tra Qualys sẽ liệt kê những giao thức mật mã nào bạn đã áp dụng và hiện tại, nếu bạn đang sử dụng dưới TLS v 1.2., bạn sẽ nhận được điểm kém.

Một điều cuối cùng cần nói về các giao thức mật mã, khi bạn mua một gói web và chứng chỉ SSL từ một ISP chính thống như GoDaddy, nó sẽ là TLS v 1.2. điều này là tốt nhưng về sau, bạn có thể thấy khó nâng cấp để nói TLS v 1.3. Cá nhân tôi cài đặt chứng chỉ SSL của riêng mình và do đó tôi tự kiểm soát vận mệnh của mình, có thể nói như vậy.

Bước 2: Định cấu hình lại Apache để thực hiện thay đổi SSL

Một trong những lĩnh vực quan trọng được kiểm tra trong kiểm tra Qualys SSL và trọng tâm của phần này là Bộ mật mã xác định độ mạnh mã hóa của dữ liệu được truyền của bạn. Đây là một ví dụ đầu ra từ thử nghiệm SSL của Qualys trên một trong các miền của tôi.

Cipher Suites # TLS 1.2 (dãy trong máy chủ được ưu tiên theo thứ tự) TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (0xc030) ECDH secp256r1 (eq. 3072 bit RSA) FS256TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (0xc02f) ECDH secp256r1 (eq. 3072 bit RSA) FS128TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (0xc028) ECDH secp256r1 (eq. 3072 bit RSA) FS256TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (0xc027) ECDH secp256r1 (eq. 3072 bit RSA) FS128

Bạn có thể mất nhiều thời gian định cấu hình lại cấu hình Apache của mình để xóa các đường màu đỏ (không thành công) khỏi báo cáo kiểm tra Qualys của mình nhưng tôi khuyên bạn nên làm theo cách sau để có được cài đặt Cipher Suite tốt nhất.

1) Truy cập trang web Apache và đưa ra các đề xuất của họ về Bộ mật mã để sử dụng. Tại thời điểm viết bài, tôi đã theo liên kết này -

2) Thêm cài đặt được đề xuất vào tệp cấu hình Apache của bạn và khởi động lại Apache. Đây là cài đặt được đề xuất của họ mà tôi đã sử dụng.

SSLCipherSuite ECDHE-ECDSA-AES256-GCM-SHA384: ECDHE-RSA-AES256-GCM-SHA384: ECDHE-ECDSA-CHACHA20-POLY1305: ECDHE-RSA-CHACHA20-POLY1305: ECDHE-ECDSA-CHACHA20-POLY1305 -AES128-GCM-SHA256: ECDHE-ECDSA-AES256-SHA384: ECDHE-RSA-AES256-SHA384: ECDHE-ECDSA-AES128-SHA256: ECDHE-RSA-AES128-SHA256

Lưu ý - Một trong những thách thức là tìm tệp nào bạn cần thay đổi chỉ thị SSLCipherSuite của mình, Để thực hiện việc này, hãy đăng nhập vào Putty và đăng nhập vào thư mục etc (sudo cd / etc) Tìm thư mục apache như apache2 hoặc http. Tiếp theo, thực hiện tìm kiếm trên thư mục apache như sau: grep -r "SSLCipherSuite" / etc / apache2 - Điều này sẽ cung cấp cho bạn một kết quả tương tự như sau:

/etc/apache2/mods-available/ssl.conf:#SSLCipherSuite HIGH: MEDIUM:! aNULL:! MD5:! RC4:! DES / etc / apache2 / mods-available / ssl.conf: #SSLCipherSuite HIGH:! aNULL: ! MD5:! RC4:! DES /etc/apache2/mods-available/ssl.conf:#SSLCipherSuite ECDH + AESGCM: DH + AESGCM: ECDH + AES256: DH + AES256: ECDH + AES128: DH + AES: ECDH + 3DES: DH + 3DES: RSA + AESGCM: RSA + AES: RSA + 3DES:! ANULL:! MD5:! DSS

Điều quan trọng cần lưu ý là tệp /etc/apache2/mods-available/ssl.conf hoặc bất cứ thứ gì là của bạn. Mở tệp bằng trình chỉnh sửa chẳng hạn như nano và đi tới phần # Bộ mật mã SSL:. Tiếp theo, thay thế mục hiện có trong SSLCipherSuite chỉ thị bằng mục ở trên từ trang web Apache. Hãy nhớ nhận xét các chỉ thị SSLCipherSuite cũ hơn và khởi động lại Apache - trong trường hợp của tôi, tôi đã thực hiện việc này bằng cách gõ sudo /etc/init.d/apache2 restart

Lưu ý rằng đôi khi bạn có thể cần phải xóa các mật mã cụ thể đang mang lại cho bạn điểm kiểm tra Qualys SSL thấp (giả sử vì các lỗ hổng bảo mật mới đã được phát hiện) ngay cả khi bạn đã sử dụng cài đặt Apache được khuyến nghị. Một ví dụ là nếu dòng sau xuất hiện màu đỏ (không thành công) trên báo cáo Chất lượng của bạn TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (0xc030) Bước đầu tiên là tìm mã nào bạn cần thay đổi trong chỉ thị Apache SSLCipherSuite của mình. Để tìm mã, hãy truy cập https://www.openssl.org/docs/man1.0.2/apps/ciphers… - phần này hiển thị mã như sau: TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 ECDHE-RSA-AES256-GCM-SHA384

Lấy ECDHE-RSA-AES256-GCM-SHA384 và xóa nó khỏi mục nhập bạn đã thêm làm chỉ thị Apache Apache SSLCipherSuite, sau đó thêm nó vào cuối bằng cách đặt trước nó bằng:!

Một lần nữa, khởi động lại Apache và kiểm tra lại

Bước 3: Kết luận

Tôi biết rằng bạn đã học được điều gì đó về kiểm tra SSL. Có rất nhiều điều để tìm hiểu về điều này nhưng hy vọng, tôi đã chỉ cho bạn đúng hướng. Trong các hướng dẫn tiếp theo của tôi, tôi sẽ đề cập đến các lĩnh vực khác của An ninh mạng, vì vậy hãy chú ý theo dõi.