Hoe we een SSL algemene beoordeling optimaliseerden van B naar A+

Met Skillbrowser kunt u de vaardigheden van IT-leveranciers bekijken, bevestigen en beoordelen en kunt u in contact komen met nieuwe klanten. De producteigenaar moest onlangs van leverancier veranderen en we zijn blij dat hij ons de voortdurende ondersteuning en het onderhoud heeft toevertrouwd.

Op een dag kregen we een heel vreemd supportticket dat sommige mensen een probleem hadden met SSL en de site helemaal niet konden openen. Het leek erop dat voor sommige klanten het SSL-certificaat niet geldig was, dus besloten we een SSL-audit uit te voeren met de SSL Labs testtool en de resultaten waren helemaal niet goed - graad B met verschillende waarschuwingen.

Ons DevOps-team kwam meteen met een zesstappenplan dat moest worden uitgevoerd om de SSL-rating op te krikken.

• Alleen TLS 1.2 en TLS 1.3 laten staan

  TLS 1.0 en 1.1 werden afgeschreven in 2020, dus ze moesten een stapje terug doen.

• Verhelp de waarschuwing voor onvolledige certificaatketen

  Het certificaat van de Certificaatautoriteiten werd niet gevonden in de ingebouwde vertrouwenslijst, waardoor sommige bezoekers een foutmelding "incomplete keten" te zien kregen. We hebben de benodigde tussenliggende certificaten verkregen en toegevoegd aan de configuratie en dit probleem was opgelost.

• De Forward Secrecy-waarschuwing repareren

  Deze was eenvoudig, we hoefden alleen maar de Apache server te configureren voor Forward Secrecy door de link tussen de privésleutel van de server en elke sessiesleutel te verwijderen en het aanvallers onmogelijk te maken de privésleutel te gebruiken om een van de gearchiveerde sessies te ontsleutelen.

• Certificaatpad repareren in docker-infrastructuur

  Deze stap was specifiek voor de bestaande docker-infrastructuur van het project. Na onze wijziging werd een handmatige stap die moest worden uitgevoerd na elke implementatie verwijderd.

• DH-parameters toevoegen

  De standaard sleutelgrootte in OpenSSL is 1024 bits, wat breekbaar lijkt met de rekenkracht van een natiestaat, dus hebben we DH-parameters gegenereerd met OpenSSL waardoor de sleutel nu 4096 bits is.

• Extra optimalisaties
  • De responsheader Strict-Transport-Security is toegevoegd om browsers te informeren dat de site alleen toegankelijk is via HTTPS.
  • Enkele van de huidige ssl_sessions instellingen aangepast.
  • Gedaan met het juist instellen van ssl_ciphers voor TLS1.2, TLS1.3.
  • De headers X-Content-Type-Options en X-XSS-Protection zijn toegevoegd. Met de eerste kun je MIME-type sniffing vermijden, terwijl de tweede pagina's stopt met laden wanneer ze gereflecteerde cross-site scripting (XSS) aanvallen detecteren.

Na het implementeren van ons plan hadden we een A+ resultaat zonder waarschuwingen. Helemaal niet slecht!

Nog een meetbaar uitzonderlijk resultaat van ons werk!