Re: htts - zalostne nastaveni bezpecnosti
Napsal: pon 04. led 2016 17:24:05
Tak jistě, nic není dokonalé a i ve věcech kolem HTTPS se objevují chyby a trvá než dojde k opravě, ale přece kvůli jednomu nedostatku na to nerezignujeme úplně, proč nenasadit opravy tam, kde to lze a nestojí to peníze, pouze chvíli práce admina jako navýšení parametrů Diffie-Hellman (DH) key exchange, nebo použití jiných než obecně používaných prvočísel v pro DH a i ten upgrade OpenSSL pro TLS 1.2, i když to pro vás znamená upgrade OS. Ono HTTPS je jednak o ověření identity serveru, a jednak o síle šifrovaní, nikdo od vás nečeká že budete kupovat EV certifikáty od Verisignu za tisíce dolarů.
Proč nepodpora TLS 1.2 znamená C je podrobně vysvětleno zde https://community.qualys.com/blogs/secu ... -supported neměl jsem představu, že TLS 1.0 i 1.1 jsou tak fousaté. TLS 1.2 je z roku 2008, TLS 1.1 z 2003, aktuální oldoldstable (squeeze) vyšel 2011, co tam proboha dělají, že to není podporováno. Ono bezpečnostní potíže se řeší i zaváděním nových technologií a protokolů, takže dosahovat stability používáním nejstaršího ještě podporovaného řešení nemusí být vždy šťastné, Debian je v dosahování stability používáním někdy i zastaralých verzí docela extrém, i když dnes je to snad lepší než v minulosti.
Vaše certifikáty mají SHA256, v tomto ohledu to máte OK a chráníte své klienty, SHA-1 je problém těch co ho používají a jejich klientů. A i kdyby NSA tam měla zadní vrátka, tak je to zásadní rozdíl oproti situaci, kdy na to rezignujeme a data si bude moci číst admin každého free wifi. Podvržení DNS a unesení provozu zase řeší jiné věci jako DNSSEC, HTTPS downgrade zase řeší HTTP Strict Transport Security (HSTS)
Proč nepodpora TLS 1.2 znamená C je podrobně vysvětleno zde https://community.qualys.com/blogs/secu ... -supported neměl jsem představu, že TLS 1.0 i 1.1 jsou tak fousaté. TLS 1.2 je z roku 2008, TLS 1.1 z 2003, aktuální oldoldstable (squeeze) vyšel 2011, co tam proboha dělají, že to není podporováno. Ono bezpečnostní potíže se řeší i zaváděním nových technologií a protokolů, takže dosahovat stability používáním nejstaršího ještě podporovaného řešení nemusí být vždy šťastné, Debian je v dosahování stability používáním někdy i zastaralých verzí docela extrém, i když dnes je to snad lepší než v minulosti.
Vaše certifikáty mají SHA256, v tomto ohledu to máte OK a chráníte své klienty, SHA-1 je problém těch co ho používají a jejich klientů. A i kdyby NSA tam měla zadní vrátka, tak je to zásadní rozdíl oproti situaci, kdy na to rezignujeme a data si bude moci číst admin každého free wifi. Podvržení DNS a unesení provozu zase řeší jiné věci jako DNSSEC, HTTPS downgrade zase řeší HTTP Strict Transport Security (HSTS)