Jak správně využít SSL certifikát - díl třetí

17. 1. 2013 | Jindřich Zechmeister

Samotným nainstalováním certifikátu práce na zabezpečení webu nekončí. V následujících čtyřech článcích projdeme tyto aspekty z pohledu současných bezpečnostních doporučení a vy si můžete ověřit, zda-li využíváte certifikát správně a bezpečně. Třetím tématem bude optimalizace výkonu serveru při použití SSL.

Samotným nainstalováním certifikátu práce na zabezpečení webu nekončí. Důležitá je i správná konfigurace serveru, šifrování a dalších parametrů. Třetím tématem bude optimalizace výkonu serveru při použití SSL.

Nepoužívejte delší privátní klíče než je nutné

Při navazování SSL spojení prohlížeče se serverem a probíhajícím Handshake jsou prováděny operace, jejichž náročnost značně závisí na délce použitého klíče. 

V současnosti se v běžné praxi považuje za zcela dostačující hloubka klíčů 2048 bitů. Můžete samozřejmě použít i vyšší bitovou hloubku klíčů, ale není to zatím nutné a pravděpodobně to bude mít i vliv na výkon serveru při šifrování (delší první načtení stránky při handshake).

Klíče s bitovou hloubku menší než 1024 bitů již nepoužívejte. Ani certifikační autority tuto a nižší hloubku nepodporují při vystavování certifikátů; standardem je již zmiňovaných 2048 bitů.

Přesvědčte se, že používáte obnovení relace

Obnovení relace, anglicky session resumption, je technologie optimalizace výkonu, která umožňuje uložení výsledků kryptografických operací a do uplynutí určité doby je umožňuje znovu využít. Vypnutí této technologie nebo její nesprávné fungování může vyústit ve značné výkonnostní ztráty.

Používejte trvalé udržování HTTP spojení

Vyšší zátěž serveru představuje spíše zvýšený síťový provoz, než na procesor náročné kryptografické operace. Trvalé udržování spojení (anglicky persistent connections) pomáhá snižovat síťový provoz mezi klientem a serverem, protože není nutné navazovat nová spojení a znovu si vyměňovat klíče v tzv. SSL Handshake. S touto funkcí může jeden klient přenést větší množství dat pouze s jedním TCP spojením.

Povolte kešování veřejných zdrojů

Data přenášená přes HTTPS se v moderních prohlížečích neukládají na disk, ale nanejvýš do vyrovnávací paměti prohlížeče v paměti počítače. Po ukončení program jsou smazány. Chování prohlížeče je možné ovlivnit funkcí response headers.

Informace, které nejsou důvěrné - například veřejně dostupné obrázky - můžete nechat server načíst do vyrovnávací paměti (cache) a zlepšit tak výkon při velké návštěvnosti vašeho webu. Pro PHP naleznete tuto možnost ve funkci "Cache-Control: public response header", v ASP se nazývá "Response.CacheControl".

Důvěrné informace naopak v žádném případě nekešujte.

V posledním čtvrtém dílu cyklu se budeme věnovat návrhu aplikace a implementaci SSL protokolu.

Cyklus Jak správně využít SSL certifikát se zakládá na bezpečnostních doporučeních společnosti Qualys, lídra na poli cloudové bezpečnosti, a jejich dokumentu SSL/TLS Deployment Best Practices.

Další díly seriálu:


Ing. Jindřich Zechmeister
Specialista pro bezpečnostní SSL certifikáty
DigiCert TLS/SSL Professional
e-mail: jindrich.zechmeister(at)zoner.cz