Stärkung der SSL-Dienste auf Ihrem Webserver (Apache/Linux): 3 Schritte

2024 Autor: John Day | [email protected]. Zuletzt bearbeitet: 2024-01-30 07:21

Dies ist ein sehr kurzes Tutorial, das sich mit einem Aspekt der Cybersicherheit befasst – der Stärke des SSL-Dienstes auf Ihrem Webserver. Der Hintergrund ist, dass SSL-Dienste auf Ihrer Website verwendet werden, um sicherzustellen, dass niemand Daten hacken kann, die von und zu Ihrer Website übertragen werden. Angriffe auf verwundbare SSL-Dienste wie den Heartbleed-Bug in OpenSSL und den Poodle-Bug, der SSL 3.0-Schwachstellen ausnutzte, wurden gut publiziert. (Dieser Bereich ist ein bewegliches Ziel, daher müssen Sie SSL-Tests in Ihren ISO 27001-Plan-Do-Check-Act-Zyklus (PDCA) integrieren.)

Wenn SSL mit einem Zertifikat eines anerkannten Anbieters auf Ihrer Website installiert ist, sehen Sie, dass Ihre Website von https://ihredomain.com aus erreichbar ist. Das bedeutet, dass die Daten verschlüsselt hin und her übertragen werden. Im Gegensatz dazu legt https://yourdomain.com oder schwache Verschlüsselung übertragene Daten im Klartext offen, was bedeutet, dass selbst ein kleiner Hacker mit leicht verfügbaren Tools wie Wireshark auf Ihre Passwortdaten usw. zugreifen kann.

Für den Rest dieses Tutorials gehe ich davon aus, dass Sie Apache als Webserver unter Linux verwenden und über einen Terminalemulator wie putty Zugriff auf Ihren Webserver haben. Der Einfachheit halber gehe ich auch davon aus, dass Ihr ISP Ihr SSL-Zertifikat bereitgestellt hat und Sie die Möglichkeit haben, einige Aspekte davon neu zu konfigurieren.

Schritt 1: Testen der Stärke Ihres SSL-Dienstes

Gehen Sie einfach zu https://www.ssllabs.com/ssltest/ und geben Sie Ihren Domainnamen neben dem Feld Hostname ein und aktivieren Sie das Kontrollkästchen "Ergebnisse nicht auf den Boards anzeigen" und klicken Sie auf die Schaltfläche "Senden". (Bitte beachten Sie, dass Sie ohne vorherige Genehmigung keine Domains testen und niemals Ergebnisse auf den Boards anzeigen sollten.)

Nach Durchführung der Tests erhalten Sie eine Punktzahl von F bis A+. Sie erhalten ein detailliertes Testergebnis, das Ihnen hoffentlich klar macht, warum Sie Ihre Punktzahl erhalten haben.

Die üblichen Gründe für das Scheitern sind, dass Sie veraltete Komponenten wie Verschlüsselungen oder Protokolle verwenden. Ich werde mich bald auf Verschlüsselungen konzentrieren, aber zuerst ein kurzes Wort zu kryptografischen Protokollen.

Kryptografische Protokolle bieten Kommunikationssicherheit über ein Computernetzwerk. … Die Verbindung ist privat (oder sicher), da symmetrische Kryptographie verwendet wird, um die übertragenen Daten zu verschlüsseln. Die beiden wichtigsten Protokolle sind TLS und SSL. Letzteres ist verboten und TLS entwickelt sich weiter, und während ich dies schreibe, ist die neueste Version 1.3, wenn auch im Entwurfsformat. In der Praxis sollten Sie ab Januar 2018 nur TLS v 1.2 haben. aktiviert. Es wird wahrscheinlich eine Umstellung auf TLV v 1.3 geben. im Laufe des Jahres 2018. Der Qualys-Test listet auf, welche kryptografischen Protokolle Sie angewendet haben. Wenn Sie derzeit weniger als TLS v 1.2 verwenden, erhalten Sie eine schlechte Punktzahl.

Ein letzter Hinweis zu kryptografischen Protokollen: Wenn Sie ein Webpaket und ein SSL-Zertifikat von einem Mainstream-ISP wie GoDaddy kaufen, handelt es sich um TLS v 1.2. Das ist gut, aber später kann es schwierig sein, ein Upgrade auf TLS v 1.3 durchzuführen. Persönlich installiere ich meine eigenen SSL-Zertifikate und habe somit sozusagen mein eigenes Schicksal in der Hand.

Schritt 2: Apache neu konfigurieren, um SSL-Änderungen vorzunehmen

Einer der wichtigen Bereiche, der im Qualys SSL-Test getestet wird und der Schwerpunkt dieses Abschnitts sind, sind Verschlüsselungssammlungen, die die Verschlüsselungsstärke Ihrer übertragenen Daten bestimmen. Hier ist eine Beispielausgabe eines Qualys SSL-Tests auf einer meiner Domains.

Cipher Suites # TLS 1.2 (Suiten in server bevorzugte Reihenfolge) TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (0xc030) ECDH secp256r1 (eq. 3072 Bit RSA) FS256TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (0xc02f) ECDH secp256r1 (eq. 3072 Bit RSA) FS128TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (0xc028) ECDH secp256r1 (eq. 3072 Bits RSA) FS256TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (0xc027) ECDH secp256r1 (entspricht 3072 Bit RSA) FS128

Sie können viel Zeit damit verbringen, Ihre Apache-Konfiguration neu zu konfigurieren, um rote Linien (fehlgeschlagen) aus Ihrem Qualys-Testbericht zu entfernen, aber ich empfehle den folgenden Ansatz, um die besten Cipher Suite-Einstellungen zu erhalten.

1) Besuchen Sie die Apache-Website und rufen Sie deren Empfehlungen für eine zu verwendende Cipher Suite ab. Zum Zeitpunkt des Schreibens bin ich diesem Link gefolgt -

2) Fügen Sie die empfohlene Einstellung zu Ihrer Apache-Konfigurationsdatei hinzu und starten Sie Apache neu. Dies war ihre empfohlene Einstellung, die ich verwendet habe.

SSLCipherSuite ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-A28-GCM-SHA256:ECDHE-RSA-CHACHA20-POLY1305 -AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256

Hinweise - Eine der Herausforderungen besteht darin, herauszufinden, welche Datei Sie zum Ändern Ihrer SSLCipherSuite-Direktive benötigen. Melden Sie sich dazu bei Putty an und melden Sie sich im etc-Verzeichnis an (sudo cd /etc). Suchen Sie nach einem Apache-Verzeichnis wie apache2 oder http. Führen Sie als nächstes eine Suche im Apache-Verzeichnis wie folgt durch: grep -r "SSLCipherSuite" /etc/apache2 - Dies gibt Ihnen eine Ausgabe ähnlich der folgenden:

/etc/apache2/mods-available/ssl.conf:#SSLCipherSuite HOCH:MITTEL:!aNULL:!MD5:!RC4:!DES/etc/apache2/mods-available/ssl.conf:#SSLCipherSuite HOCH:!aNULL: !MD5:!RC4:!DES /etc/apache2/mods-available/ssl.conf:#SSLCipherSuite ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+3DES:DH+3DES:RSA+AESGCM:RSA+AES:RSA+3DES:!aNULL:!MD5:!DSS

Wichtig ist die Datei /etc/apache2/mods-available/ssl.conf oder was auch immer Ihnen gehört. Öffnen Sie die Datei mit einem Editor wie nano und gehen Sie zum Abschnitt # SSL Cipher Suite:. Als nächstes ersetzen Sie den vorhandenen Eintrag in der Direktive SSLCipherSuite durch den obigen von der Apache-Website. Denken Sie daran, ältere SSLCipherSuite-Direktiven auszukommentieren und Apache neu zu starten - in meinem Fall habe ich dies getan, indem ich sudo /etc/init.d/apache2 restart eingegeben habe

Beachten Sie, dass Sie manchmal bestimmte Verschlüsselungen entfernen müssen, die Ihnen ein niedriges Qualys-SSL-Testergebnis bescheren (z. B. weil neue Schwachstellen entdeckt wurden), obwohl Sie die empfohlenen Apache-Einstellungen verwendet haben. Ein Beispiel ist, wenn die folgende Zeile in Ihrem Qualys-Bericht TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (0xc030) rot (fehlgeschlagen) erscheint. Der erste Schritt besteht darin, herauszufinden, welchen Code Sie in Ihrer Apache SSLCipherSuite-Direktive ändern müssen. Um den Code zu finden, gehen Sie zu https://www.openssl.org/docs/man1.0.2/apps/ciphers… - dies zeigt den Code wie folgt: TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 ECDHE-RSA-AES256-GCM-SHA384

Nehmen Sie ECDHE-RSA-AES256-GCM-SHA384 und entfernen Sie es aus dem Eintrag, den Sie als Apache Apache SSLCipherSuite-Direktive hinzugefügt haben, und fügen Sie es dann am Ende hinzu, indem Sie ihm voranstellen:!

Starten Sie Apache erneut neu und testen Sie es erneut

Schritt 3: Fazit

Ich habe, dass Sie etwas über SSL-Tests gelernt haben. Es gibt noch viel mehr darüber zu lernen, aber hoffentlich habe ich Sie in die richtige Richtung gewiesen. In meinen nächsten Tutorials werde ich andere Bereiche der Cybersicherheit behandeln, also bleiben Sie dran.