Tips og Tricks

For optimal brug af et SSL certifikat kræves det mere end køb af et certifikat og dets installation. Det sker ofte, at installationen ikke er udført korrekt, og at serverindstillingerne ikke er optimale. Dette resulterer i et websted, der stadig er sårbart, og dermed udveksles data. Her er nogle tips, der gør brugen af SSL meget sikrere.

Den private nøgle

Den private nøgle er kun kendt af certifikatets ejer. I forkerte hænder kan det føre til misbrug - dekryptering og overvågning af datatrafikken. Sørg for, at den private nøgle gemmes på et sikkert sted, sikre filen med et kodeord, opret en sikkerhedskopi og opdater den private nøgle (og dermed certifikatet) regelmæssigt.

Kontroller installationen af certifikatet

Med vores SSLCheck kan du tjekke:

Om certifikatet og CA root og mellemcertifikatet er installeret korrekt. Rootcertifkaterne sikrer, at certifikatet er betroet af browsere og applikationer.
Certifikatets egenskaber. Den nuværende standard er mindst 2048 bit RSA, eller når besøgende bruger moderne browsere, ECC. Algoritmen til signaturen skal være SHA-2. Er et certifikat ikke i overensstemmelse med disse krav? En gratis genudgivelse af dit certifikat løser problemet.

Protokoller

Sørg for, at serveren understøtter de nyeste versioner af TLS-protokollen. Protokollerne, hvorfra SSL certifikater henter deres navn, SSL version 1, 2 og 3 er nu usikre, såvel som TLS version 1.0 og 1.1. Sluk derfor disse protokoller i din serverkonfiguration, så kun de nyere TLS-protokoller 1.2 og 1.3 vil blive brugt.

Cipher Suites

En SSL/TLS-protokol har flere cipher suites til at oprette en krypteret forbindelse. En cipher suite bestemmer, hvordan trafikken mellem en server og en klient krypteres og behandles. En række af disse cipher suites er nu fundet svage og usikre. Det er derfor vigtigt at deaktivere usikre cipher suites på din server.

Perfect Forward Secrecy

Ud over protokollerne kan du vælge hvilke algoritmer der skal bruges til at kommunikere med browseren. En af de ting, der understøttes af en god algoritme, er Perfect Forward Secrecy (PFS, perfekt fremadgående hemmeligholdelse). PFS sikrer, at den midlertidige sessionsnøgle, der oprettes til kommunikation mellem browseren og serveren, ikke kan dekoderes med den private nøgle på et senere tidspunkt. Det betyder, at al trafik, som en person ville fange nu, ikke længere kan dechiffreres i fremtiden, hvis nogen får adgang til den private nøgle.

Sikker hele webstedet med SSL

Sørg for, at hele webstedet er sikret ved hjælp af SSL, ikke kun de sider, hvor kunderne efterlader data. Dette sikrer, at der ikke kan opfanges data under overgangen fra usikrede til sikrede sider. Derudover undertrykker den browserens advarsler om blandet indhold. Google tilskynder brugen af SSL på hele hjemmesiden ved at belønne den med en mulig højere ranking. Vær forsigtig med at ændre konfigurationen for at sikre, at ændringen ikke vil være på bekostning af funktionalitet og ydeevne på hjemmesiden.

OCSP Stapling

For at kontrollere status for et certifikat, for at se om det måske er blevet tilbagekaldt, bruger browsere OCSP- og CRL-data fra CAen. Denne statusinformation kan også overføres af din egen webserver. Denne såkaldte OCSP Stapling fungerer ved at have din egen webserver i kontakt med CAs OCSP-servere og cache disse oplysninger. Webserveren overfører derefter dette cachelagrede svar til klienten og gør det derfor unødvendigt for klienten at få disse oplysninger i en anden forbindelse fra CAen, hvilket gør svaret generelt hurtigere.

Public Key pinning

Ved hjælp af Public key pinning (HPKP) angiver du certifikatet eller CA-certifikatet til brug på et websted. Dette gør det muligt for ejeren af en hjemmeside at angive, hvilket certifikat der skal være tillid til for denne hjemmeside, eller hvilken CA skulle have udstedt det brugte certifikat. Dette reducerer risikoen for man-in-the-middle angreb betydeligt.

Tvinge sikre forbindelser

Et skridt videre end at have hele hjemmesiden tilgængelig via HTTPS, er at tving brugen af HTTPS. Flere metoder er tilgængelige for at opnå dette, som at omdirigere besøgende fra HTTP-versionen til HTTPS-versionen. For at forhindre, at en besøgende stadig bliver omdirigeret til en usikret side, kan du aktivere funktionen HTTP Strict Transport Security på webserveren. Når en besøgende har besøgt din sikrede hjemmeside, modtager den HTTP Strict Transport Security header i browseren og husker derfor, at hjemmesiden kun er tilgængelig via SSL.

Nem SSL konfiguration

Mozilla tilbyder en nem at bruge SSL-konfigurationsgenerator, som giver dig mulighed for at få de perfekte indstillinger til din specifikke server og use case, som TLS-version, ciphers, aktivering af OCSP-hæftning og HTTP Strict Transport Security, alt ved blot at klikke på et par optioner og indtaste din server og OpenSSL-version.