Så får du A+ av SSL Labs

Om du ser nedan omdöme så betyder det att du har en installation av webbserver och certifikat som är mycket bra: A+.

Det är inte dock helt trivialt att erhålla detta betyg av SSL Labs.SSL LabsFörst och främst måste ni ange vilka protokoll som stödjs:

ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

Detta är för Nginx och innebär dock att ni väljer bort ett få antal besökare som ej kan nå Er webbplats. Men till följd att säkerheten blir bättre.

Sedan är det dags att berätta vilka protokoll vi vill använda oss av:

ssl_prefer_server_ciphers on;
ssl_ciphers AES256+EECDH:AES256+EDH:!aNULL;

Sedan måste bättre DHE-parametrar skapas:

$ cd /etc/ssl/certs
$ openssl dhparam -out dhparam.pem 4096

Och läggas till i konfigurationsfilen:

ssl_dhparam /etc/ssl/certs/dhparam.pem;

Och slå sedan på stöd för TLS:

# Enable SSL on all domains - you may also want to enable this on a per-site
# basis instead if you are supporting multiple virtual hosts.
ssl on;

# Cache SSL sessions for 10m (this is about 40,000 sessions), timing them out
# after 24 hours.
ssl_session_cache shared:SSL:10m;
ssl_session_timeout 24h;

# Set the buffer size to 1400 bytes (that way it fits into a single MTU).
ssl_buffer_size 1400;

Även så lägger vi till stöd för OCSP-stapling:

ssl_stapling on;
ssl_stapling_verify on;
resolver 8.8.4.4 8.8.8.8 valid=300s;
resolver_timeout 10s;

Och sist men inte minst så bör vi även använda oss av HSTS:

# Enable HSTS
add_header Strict-Transport-Security max-age=63072000; includeSubDomains; preload;

# Do not allow this site to be displayed in iframes
add_header X-Frame-Options DENY;

# Do not permit Content-Type sniffing.
add_header X-Content-Type-Options nosniff;

När du infört ovan konfiguration så bör du även läsa in konfigurationsfilen igen samt se till att eventuella intermediate-certifikat laddas in. Kontrollera sedan igen med SSLLabs.com och se att du får ett A+ betyg.

Vi rekommenderar även att du lägger till domänen till Google Chrome HSTS-preload lista.

Denna artikel baseras på denna.

Ny attack mot SSL/TLS: Poodle

Ingen pudel tackNågra forskare vid Google upptäckte nyligen en ny attack mot SSL/TLS. Denna attack är tvådelad och går dels ut på att nyttja en sårbarhet i SSL 3.0 men även att forcera en nedgraderingsattack mot TLS.

Vi rekommenderar därför att SSL 3.0 helt stängs av Er webbserver eller mailserver.

När ni genomfört ändringarna så rekommenderar vi att testa sajten med SSLlabs.com.

Du kan läsa mer om Poodle på kryptera.se.

Nginx

Ändra filen /etc/nginx/nginx.conf och lägg till raden:

ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

Starta sedan om Nginx.

Apache

Om mod_ssl används så ändrar du i filen /etc/apache2/mods-available/ssl.conf där du hittar direktivet för SSLProtocol och lägger till följande:

SSLProtocol all -SSLv3 -SSLv2

Starta sedan om Apache.