Dle analýzy nemá 86 % webů s SSL certifikátem dokonalé zabezpečení
Celých 86 % webů využívajících SSL certifikát neposkytuje dokonalé zabezpečení. V důsledku toho tyto weby neposkytují návštěvníkům maximální možné zabezpečení a mohou dokonce ohrozit bezpečnost návštěvníka, který se může stát terčem útoku.
Cílem pravidelně publikované bezpečnostní analýzy SSL Pulse společnosti Qualys jsou nejnavštěvovanější weby, které využívají SSL certifikát. Celkově bylo otestováno necelých 180 tisíc webů a přesto, že většina z nich používá důvěryhodný certifikát se správnou hloubkou klíče, bylo zjištěno mnoho nedostatků.
Samotným nainstalováním důvěryhodného certifikátu práce na zabezpečení webu nekončí. Důležitá je i správná konfigurace serveru, šifrování a dalších parametrů SSL spojení. Správnou konfigurací serveru využívajícího SSL certifikát lze aktivně zamezit nejčastějším útokům na SSL protokoly, jako BEAST nebo CRIME.
Otestujte si zabezpečení vlastní domény
V následujícím serverovém testu si můžete ověřit, zda-li i vy máte rezervy v použití SSL certifikátu a zda-li ho využíváte na maximum.
Zadejte název domény pro test SSL zabezpečení:
Našli jste v SSL zabezpečení slabinu? Níže naleznete nejčastější problémy a jejich řešení.
Útoky BEAST a CRIME
Až 71 % testovaných webů je zranitelných BEAST útokem, který je sice ošetřen v aktuálních prohlížečích, ale je vhodné útoku zabránit konfigurací serveru, což se bohužel příliš neděje. V případě útoku CRIME je situace lepší, ale 41 % ohrožených serverů je znepokojivé číslo.
Útok BEAST využívá chybu v SSL 3.0 (i TLS v1), která umožňuje útočníkovi získat a dešifrovat HTTPS cookie uživatele prohlížeče a získat celou zabezpečenou relaci s HTTPS serverem. Ochranou proti tomuto útoku je použití vyšší verze protokolu TLS a aktualizovaný prohlížeč návštěvníka. Z pohledu kompatibility prohlížečů však není možné použít pouze protokol TLS 1.1 a TLS 1.2, jelikož podpora těchto protokolů je zatím slabá.
Útok CRIME je zaměřený na zranitelnost komprese TLS protokolu, kterou má zapnutou 40 % testovaných serverů.
Doporučujeme bránit server proti BEAST útoku použitím šifrovacího algoritmu RC4; na serveru tento algoritmus použijte s nejvyšší prioritou. Hrozba CRIME útoku je ze stany serveru zcela eliminovaná pouze vypnutím komprese TLS.
Použité SSL/TLS protokoly
V současnosti můžete s webovým serverem komunikovat pěti používanými protokoly. Nejpoužívanější jsou SSL v3 a TLS 1.0, které podporují všechny testované servery.
Zastaralý a z pohledu bezpečnosti nedostačující protokol SSL v2 používá stále téměř 30 % testovaných serverů. Pokud sami podporujete tento protokol, můžete ho již přestat používat, protože na zajištění kompatibility se staršími prohlížeči (IE 6 a Windows XP) stačí novější protokol SSL v3. Druhá verze skutečně není bezpečná a jako nejstarší SSL protokol odborníci doporučují použít SSL v3.
Novější protokol TLS, který SSL v3 nahradil, je nyní dostupný ve třech verzích. Nejnovější TLS 1.2 bohužel podporuje pouze Internet Explorer 9 (10), proto je třeba na serveru používat i starší protokoly. TLS 1.1 je použitelný pro většinu novějších prohlížečů vyjma Firefoxu, který používá starší NSS šifrovací knihovny a zatím ho nepodporuje. Tyto dvě novější verze podporuje pouze 6, resp. 7 % testovaných serverů a jejich masivní použití je otázkou budoucnosti.
Z pohledu kompatibility je tedy jistotou nejčastěji používaný protokol TLS 1.0, u kterého jsou sice známy bezpečnostní slabiny, ale jeho použití není rizikové a podporuje ho většina prohlížečů. Útoky na tento protokol vyřešili tvůrci prohlížečů v rámci svého softwaru, takže s aktualizovaným prohlížečem budete v bezpečí.
Doporučujeme použití TLS v1.0 certifikátu a vyšších. Pokud potřebujete podporovat i Internet Explorer 6, ponechte zapnuté SSL v3.
Hloubka klíčů
Aktuálním bezpečnostním standardem je certifikát (klíče) o bitové hloubce 2048 bitů. Tuto bitovou hloubku používá přes 86 % serverů. S nižší bitovou hloubkou již certifikační autority (z rodiny Symantec) certifikát nevystaví.
Pokud používáte nižší bitovou hloubku, stejně jako 12 % testovaných serverů, měli byste během následujících let určitě provést upgrade, jelikož 2048b klíče budou standardem ještě několik dalších let.
Vyšší bitová hloubka certifikátu a použitých klíčů je bezpečnější, ale není zatím nutná; navíc může ovlivnit zátěž serveru při šifrování. Klíče s bitovou hloubkou 4096 bitů a vyšší používají pouze 2 % serverů, které můžeme hledat v prostředích s nejvyšší mírou zabezpečení (tajné služby, vládní organizace a podobně).
Doporučujeme použití klíčů s bitovou hloubkou 2048 bitů. Pokud máte certifikát s nižší bitovou hloubkou (1024b), zajistíme vám přegenerování certifikátu zdarma na aktuálně používanou bitovou hloubku 2048.
Certifikáty s rozšířeným ověřením
Pouze 8 % z testovaných webů používá EV certifikát s rozšířeným ověřením, který zaručuje maximální důvěryhodnost provozovatele. EV certifikát již není pouze výsadou bank a finančních institucí, ale je dostupný všem provozovatelům webových stránek; je však zřejmé, že zatím není příliš rozšířený u běžných webových projektů.
Certifikát s rozšířeným ověřením použijte pro projekty z finanční oblasti a projekty shromažďující zvlášť citlivé informace (detaily platebních karet).
Protokol SPDY
Nově vytvořený SPDY protokol používá pouze 2,4 % testovaných serverů. Tento protokol vyvinutý Googlem obohacuje starý HTTP protokol o nové vlastnosti, které moderní weby využívají. Popis nových vlastností tohoto protokolu naleznete například v článku na Root.cz.
Špatná instalace certifikátu
Bohužel celých 7 % z testovaných serverů nemá SSL certifikát nainstalovaný včetně tzv. Intermediate certifikátů, což způsobuje jeho nedůvěryhodnost pro návstěvníky a otravné varování v jejich prohlížečích.
Intermediate certifikát slouží ke spojení důvěryhodnosti vašeho serverového certifikátu s tzv. Root certifikátem autority, který je distribuován do systémů návštěvníků a zajisťuje automatickou důvěryhodnost certifikátů dané autority.
Pokud se i váš server potýká s tímto problémem, neváhejte nás kontaktovat a pomůžeme vám problém snadno vyřešit ke spokojenosti vaší, i vašich návštěvníků.
Rádi vám pomůžeme i s vaším serverem
Některé z výše uvedených postupů jsme aplikovali na desítky webových serverů projektu CZECHIA.COM.
Pokud máte zájem zvyšit bezpečnost i vašeho serveru s SSL certifikátem, neváhejte nás kontaktovat. Rádi s vámi probereme aktuální bezpečnostní standardy a doporučíme případné úpravy v nastavení serveru.
Ing. Jindřich Zechmeister
Specialista pro bezpečnostní SSL certifikáty
Certifikovaný Symantec Sales Expert Plus
e-mail: jindrich.zechmeister(at)zoner.cz
Přidat komentář
Přehled komentářů
-
Datum
13. 1. 2013 19:27:20 | bob
Nesnáším články, které nemají v záhlaví či patičce uveden datum publikování :-(
-
Re: Datum
3. 4. 2013 18:13:14 | Admin
Dobrý den. Děkujeme za Váš názor. Datum je vždy zobrazeno na homepage u každého článku. Nicméně nyní řešíme i jeho vložení do všech článků na našem blogu.