¿La configuración TLS "correcta" depende principalmente del servidor?

Navega tus respuestas
1

Aquí hay un enlace a una captura de pantalla de SSL Configuration Checker por GlobalSign para mi dominio: SSL Configuration Checker: enlace .

Tras discusiones recientes con el anfitrión, concluyeron:

  

Para obtener la calificación "A", tendremos que habilitar "Secreto de reenvío" y para   que necesitamos Apache 2.4.X. El servidor web actual de Apache instalado en   el servidor dedicado es:   Versión del servidor: Apache / 2.2.24 (Unix).

El certificado es gratuito con el alojamiento.

Pero, se me ocurrió que este estado libre podría ser irrelevante si las Configuraciones del servidor determinan si las pruebas TLS pasan con un ' A '.

Pregunta:

¿Es el servidor el que determina principalmente la configuración óptima de TLS en lo que respecta a los verificadores de SSL ssllabs.com y similares?

Si es así, entonces:

¿Es correcto llegar a la conclusión de que no importa qué grado de TLS se compre (p. ej., SSL básico a través de costosos certificados SSL de EV) si el servidor no está configurado, de acuerdo con estándares reconocibles como la desactivación de SSL? 3.0, y habilitando TLS 1.2 (si la versión de Apache lo permite), ¿el TLS nunca alcanzará A, A, O A + cuando se realice la prueba?

Teniendo en cuenta el impacto que tiene la versión de Apache en 'Forward Secrecy', ¿este problema aún sería cierto incluso con un Certificado EV SSL?

ACTUALIZAR :

Enlace: Mejores prácticas de implementación de SSL / TLS

Pasos tomados para resolver (lograr Grado aceptable):

Con el protocolo TLS v1.2, OpenSSL actualizado y Apache recompilado: Apache / 2.2.29 mod_ssl / 2.2.29 OpenSSL / 1.0.1e-fips mod_bwlimited / 1.4 mod_fcgid / 2.3.9

Después de eso, ajusté las cifras nuevamente.

Revisó el servidor para la vulnerabilidad de Poodle al deshabilitar el protocolo SSL v3.

    
pregunta Dylan 16.10.2014 - 01:07
fuente

2 respuestas

2

El servidor y el cliente son importantes. SSLLabs.com tiene una prueba de cliente, así como una prueba de servidor.

Hay más detalles en la pregunta ¿Cómo funciona SSL / TLS? , pero simplemente, la El protocolo de enlace SSL, el cliente es el primero en enviar la versión de TLS que admite y los conjuntos de cifrado que prefiere, y luego el servidor selecciona la versión más alta que puede admitir y el conjunto de cifrado a utilizar.

Entonces, sí, la configuración del servidor es extremadamente importante, pero puede ver que la configuración del cliente también es crítica. No solo desea asegurarse de que su cliente sea capaz de aceptar (y prefiere) configuraciones TLS que ofrezcan una protección sólida, sino que también deshabilita las versiones débiles y los conjuntos de cifrado para que un atacante no pueda degradarlo por la fuerza para usar opciones inseguras para su Conexiones SSL / TLS.

    
respondido por el Xander 16.10.2014 - 01:23
fuente
0

El "grado" que obtienes de estas pruebas no tiene ningún significado. ¿Qué sentido tiene decir que su servidor es "algo" seguro, pero no completamente? ¿Significa que los atacantes seguirán entrando pero no serán tan engreídos al respecto?

El punto importante acerca de la seguridad SSL, de la seguridad en general, es que a menudo es todo o nada: el atacante tiene éxito o no; Hay poco espacio para que un atacante tenga éxito a medias. En ese sentido, la configuración del servidor SSL debe ser calificada solo con "F" (vulnerable a un ataque conocido) o "A" (no vulnerable a ninguno de los ataques conocidos). Obtener una "B" o una "C" no significa nada para la seguridad; en el mejor de los casos, califica los esfuerzos invertidos por el administrador del sistema, no el resultado.

Grados están ahí para atraer a auditores y gerentes que no entienden el punto explicado anteriormente. En gran medida, certificados EV se relacionan con el mismo tipo de relaciones públicas. Los certificados EV no brindan seguridad real adicional (porque no solucionan un problema que realmente es explotado por los atacantes), pero muestran que el propietario del servidor estaba listo y dispuesto a gastar cien dólares adicionales en el tema de SSL. Eso es lo mejor del teatro de seguridad (o lo peor, según el punto de vista).

(Y, por supuesto, a las personas que hacen negocios vendiendo certificados les encanta vender certificados EV, ya que lo hacen a un precio mucho más alto).

Dicho esto: como señala @Xander, para SSL / TLS, el cliente sugiere , pero el servidor decide . Por lo tanto, lo que más importa es la configuración del servidor, aunque, por supuesto, el servidor no decidirá usar nada que el cliente no admita.

El tipo de certificado es principalmente no relacionado con la configuración SSL / TLS; sin embargo, todavía puede tener un poco de influencia:

  • Las suites de cifrado que requieren el intercambio de claves basadas en RSA necesariamente necesitan que el certificado contenga una clave RSA.
  • Para usar una suite de cifrado DHE (para obtener el así llamado "secreto hacia adelante perfecto", lo que es bueno), el servidor debe usar su certificado y clave para calcular una firma . El certificado debe permitir (o al menos no rechazar activamente) el uso de la clave pública para las firmas.

Que el certificado sea EV, o su costo, no tiene ningún impacto en los mecanismos internos de SSL / TLS. Pero puede alterar el "grado" que obtiene su servidor, dependiendo de cuánto haya vendido su alma el diseñador de pruebas de configuración a las personas que venden certificados EV.

    
respondido por el Tom Leek 16.10.2014 - 18:55
fuente

Lea otras preguntas en las etiquetas

Una política consistente de "no revelar las direcciones de correo electrónico de los miembros" [duplicar] ¿Los complementos del navegador aumentan el riesgo de seguridad debido a posibles vulnerabilidades?