Chcete získat A+ v SSL Labs hodnocení i v roce 2017?
Společnost Qualys oznámila, co budou v následujícím roce při posuzování bezpečnosti webů hodnotit, a co musíte udělat pro to, abyste v hodnocení obdrželi nejvyšší možné hodnocení A+.
Pořiďte si certifikát od důvěryhodné certifikační autority, a zkontrolujte, že žádný z certifikátů v řetězci důvěry nepoužívá obsolentní hashovací funkci SHA1.
Přestaňte vůbec podporovat hashovací funkci SHA1 a šifry, které používají klíč kratší než 128 bitů, tj. např. symetrickou šifru 3DES, a dále pak proudovou RC4. Odstraňte podporu TLS 1.1 a 1.2 a povolte jen TLS 1.3 protokol. Přidejte podporu pro AEAD
(Authenticated Encryption with Associated Data).
Dále pak aktivujete HSTS a HSTS preloading, Forward Secrecy, TLS Fallback Signaling Cipher Suite Value za účelem zabránění útoku typu Protocol Downgrade Attacks a v neposlední řadě i OCSP stapling.
Vidíme, že oproti letošnímu roku došlo ke zpřísnění požadavků, což je v pořádku. Na druhou stranu je však nutné uvést, že web, který nejvyššího hodnocení nedosáhne, tak nemusí být nutně méně bezpečný.
K článku “Chcete získat A+ v SSL Labs hodnocení i v roce 2017?” se zde nachází 1 komentář.
Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.
Budete-li nadále používat SHA1, tak počítejte se snížením hodnocení na T. A pokud budete používat 3DES v TLS 1.2, tak počítejte se zhoršením na C a pokud budete používat klíč kratší než 112 bit, tak dokonce na F. Více na blogu společnosti Qualys. Jak vlastní hodnocení probíhá, je uvedeno v SSL Server Rating Guide.