Wie wir eine SSL-Gesamtbewertung von B auf A+ optimiert haben

Mit Skillbrowser können Sie die Fähigkeiten von IT-Anbietern durchsuchen, bestätigen und bewerten sowie mit neuen Kunden in Kontakt treten. Der Produkteigentümer musste kürzlich den Anbieter wechseln, und wir freuen uns, dass er uns den laufenden Support & Wartung anvertraut hat.

Eines Tages erhielten wir ein sehr merkwürdiges Support-Ticket, das besagte, dass einige Kunden ein Problem mit SSL hatten und die Website überhaupt nicht öffnen konnten. Es schien, dass bei einigen Kunden das SSL-Zertifikat nicht gültig war, also beschlossen wir, eine SSL-Prüfung mit dem SSL Labs Test Tool durchzuführen, und die Ergebnisse waren überhaupt nicht gut - Note B mit mehreren Warnungen.

Unser DevOps-Team entwickelte sofort einen Sechs-Schritte-Plan, um die SSL-Bewertung zu verbessern.

• Nur TLS 1.2 und TLS 1.3 belassen

  TLS 1.0 und 1.1 werden 2020 veraltet sein, so dass sie sich zurückziehen mussten.

• Behebung der Warnung bei unvollständiger Zertifikatskette

  Das Zertifikat der Zertifizierungsstelle wurde nicht in der eingebauten Vertrauensliste gefunden, so dass einige Besucher einen Fehler "unvollständige Kette" sahen. Wir besorgten die erforderlichen Zwischenzertifikate und fügten sie der Konfiguration hinzu, und das Problem war behoben.

• Behebung der Forward Secrecy Warnung

  Es war einfach, den Apache-Server für Forward Secrecy zu konfigurieren, um die Verbindung zwischen dem privaten Schlüssel des Servers und den einzelnen Sitzungsschlüsseln zu entfernen und Angreifer daran zu hindern, den privaten Schlüssel zur Entschlüsselung der archivierten Sitzungen zu verwenden.

• Fixer Zertifikatspfad in der Docker-Infrastruktur

  Dieser Schritt war spezifisch für die bestehende Docker-Infrastruktur des Projekts. Nach unserer Änderung wurde ein manueller Schritt, der nach jeder Bereitstellung ausgeführt werden musste, entfernt.

• DH-Parameter hinzufügen

  Die Standard-Schlüsselgröße in OpenSSL beträgt 1024 Bit, was mit der Rechenleistung eines Staates nicht zu bewältigen ist. Daher haben wir DH-Parameter mit OpenSSL generiert, so dass der Schlüssel jetzt 4096 Bit beträgt.

• Zusätzliche Optimierungen
  • Hinzufügen des Antwort-Headers Strict-Transport-Security, der Browsern mitteilt, dass der Zugriff auf die Website nur über HTTPS erfolgen sollte.
  • Einige der derzeitigen ssl_sessions-Einstellungen wurden angepasst.
  • Richtiges Einrichten von ssl_ciphers für TLS1.2, TLS1.3.
  • Hinzufügen der Kopfzeilen X-Content-Type-Options und X-XSS-Protection. Mit dem ersten können Sie MIME-Typ-Sniffing vermeiden, während der zweite das Laden von Seiten verhindert, wenn reflektierte Cross-Site-Scripting-Angriffe (XSS) erkannt werden.

Nachdem wir unseren Plan umgesetzt hatten, erzielten wir ein Ergebnis der Note A+, ohne dass es zu Verwarnungen kam. Gar nicht mal schlecht!

Ein weiteres messbares, außergewöhnliches Ergebnis unserer Arbeit!