Taso 4 = Varmenneteknologiaa

Entrust-webinaari #2 ”Always-on SSL” – kannattaako katsoa?

entrust_webinaarit_740x400Entrust on julkaissut ”Best Practices Webinar” -sarjan. Sen toinen osa on webinaari ”Always-On SSL”.

Tämä 63-minuuttisen webinaari kertoo miten saat nykytilanteessa helpoiten suojan sivuillesi Always-On SSL -menetelmällä ja käsittelee myös mahdollisia hyökkäyksiä, jos näin ei tehdä.

Itselleni oleellisinta esityksessä oli (esittäjän hyvän tyylin lisäksi):Artikkeli_X_HTTP2

  • Google, Apple ja Mozilla ovat ilmoittaneet implementoivansa uuden HTTP/2 -verkkoprotokollan omiin selaimiinsa siten, että HTTP/2 toimii vain salatun TLS-yhteyden yli. Todennäköisesti myös Microsoft tekee saman päätöksen. Jos haluaa hyötyä HTTP/2 -protokollasta ja sen eduista, tarvitaan tällöin kaikille sivuille SSL-varmenteet.Artikkeli_X_HSTS_1
  • Selkeä tapa parantaa web-sivujen tietoturvaa merkittävästi: Konfiguroi HSTS päälle

 

Alla on kirjaamiani yksityiskohtia webinaarista. Toivottavasti tämän materiaalin perusteella voit päättää, onko webinaarista hyötyä sinulle.

Pitäjä: Mark Giannotti, Pituus: 63 minuuttia, Tekninen vaativuustaso 3 (1-5 – 5 on vaikein)

(Huom: Tässä esityksessä puhutaan useissa paikoissa SSL-protokollasta vaikka oikeasti pitäisi jo puhua TLS-protokollasta. Toivottavasti tämä ei häiritse …)

Sisällöstä otteita:

  • Aika 0 – 12 minuuttia: Kertausta: Web-sivujen suurimmat tietoturvaongelmat:
    • Katso selitykset Best Practise #1 -refereraatista
  • Aika 12 -25 minuuttia:
    • Tilanne nyt:
      • Usein sivuilla ei ole SSL/TLS tai se on asennettu sivuille vain osittain
    • Mihin SSL:ää tarvitaan?
      • Liikenteen salaus, datan luotettavuus (kukaan ei muuta sivulta tulevaa dataa), autentikointi (kävijä voi olla varma palvelun tuottajasta)
    • Miksi Always-On SSL
      • Estetään hyökkäykset, kuten Firesheep ja SSL Strip – käydään läpi nämä hyvin yksinkertaisesti ja helposti tehtävät hyökkäykset
      • Google antaa paremmat Search-Engine arviot SSL-sivuille
      • Seuraava verkkoprotokolla HTTP/2 on tulossa käyttöön ja Google, Apple ja Mozilla ovat todenneet, että heidän selaimensa tukevat HTTP/2 -verkkoprotokollaa vain TLS-protokollan yli. Näyttää siltä, että Microsoft on tehnyt saman päätöksen. Jos siis haluat hyödyntää HTTP/2 -protokollaa, sinulla pitää olla SSL/TLS -varmenne sivuilla.
      • Selaintoimittajat tulevat tämän jälkeen vähitellen “pakottamaan” sivut HTTP/2 verkkoprotokollaan (HTTP Deprecation)
  • Aika 25 – 41 minuuttia: Miten Always-on SSL otetaan käyttöön
    • Pakota koko liikenne https-muotoon:
      • aseta liikenne portista 80 menemään porttiin 443
      • tai (mikä on helpointa) konfiguroi käyttöön HTTPS Strict Transport Security (HSTS)
    • Vältä huonoja määrityksiä ja konfiguraatioita:
      • Epäyhdenmukaisuuksia DNS-määrittelyissä
      • Huonosti konfiguroituja SSL-palvelimia – tässä esitetään myös miten tämä voidaan havaita ja korjata Entrust SSL Server Test -työkalun avulla
      • Käytetään suojaamatonta cookie -liikennettä – esimerkiksi Firesheep -hyökkäys hyödyntää tätä – tässä avataan hyökkäysmenetelmää ja suojautumista
      • Mixed Page -sisältöä sivuilla (esim. asettamalla HSTS päälle)
    • Sitten katsotaan, mitä toimenpiteitä pitää käytännössä tehdä huonojen määritysten välttämiseksi
  • Aika 41 – 48 minuuttia: Hyödynnä parhaita ja uusimpia käytäntöjä
    • Extended Validation (EV) -varmenteita – ja miksi
    • HTTPS Strict Transport Security (HSTS)
    • OCSP Stapling, Perfect Forward Secrecy, SHA-2 Hashing algoritmi, TLS 1.2
    • Mitä pitää käytännössä tehdä parhaiden käytäntöjen hyödyntämiseksi
  • Aika 48 – 63 minuuttia: Yhteenveto
    • Miksi Always-On SSL tarvitaan
    • Hyviä linkkejä
    • Kysymyksiä/vastauksia

Lisää tiedoa: info@ssl-apua.fi

Vastaa

Täytä tietosi alle tai klikkaa kuvaketta kirjautuaksesi sisään:

WordPress.com-logo

Olet kommentoimassa WordPress.com -tilin nimissä. Log Out /  Muuta )

Google+ photo

Olet kommentoimassa Google+ -tilin nimissä. Log Out /  Muuta )

Twitter-kuva

Olet kommentoimassa Twitter -tilin nimissä. Log Out /  Muuta )

Facebook-kuva

Olet kommentoimassa Facebook -tilin nimissä. Log Out /  Muuta )

Muodostetaan yhteyttä palveluun %s