Best Practice: Wowza SSL-Konfiguration

tag-icon tag-icon ssl java best-practices cipher
Best Practice: Wowza SSL-Konfiguration

Screenshot: Server mit Wowza läuft unter Verwendung eines SSL-Zertifikats mit Basiskonfiguration

Dieses Ergebnis erhalte ich von SSLLabs mit der Standardkonfiguration (siehe Screenshot). Die einzigen Stellen, an denen ich die Konfiguration ändern kann, sind wahrscheinlich die VHost.xml, wo ich die folgenden Elemente konfigurieren kann:

<SSLConfig>
    <KeyStorePath></KeyStorePath>
    <KeyStorePassword>[REMOVED]</KeyStorePassword>
    <KeyStoreType>JKS</KeyStoreType>
    <DomainToKeyStoreMapPath>${com.wowza.wms.context.VHostConfigHome}/conf/jksmap.txt</DomainToKeyStoreMapPath>
    <SSLProtocol>TLS</SSLProtocol>
    <Algorithm>SunX509</Algorithm>
    <CipherSuites></CipherSuites>
    <Protocols></Protocols>
</SSLConfig>

ich lese dashttps://www.wowza.com/docs/how-to-improve-ssl-configuration, aber es hilft nicht viel.

Frage: Was kann ich zu den Punkten „Cipher Suites“ und „Protocols“ hinzufügen, um eine aktuellere SSL-Konfiguration zu erhalten? Oder wo kann ich darüber lesen?

Antwort1

Der von Ihnen angegebene Dokumentationslink erwähnt die verwendete Serversoftware nicht. Aus den protokollierten Nachrichten schließe ich jedoch, dass die gängigen OpenSSL-Begriffe verstanden werden.

Ich erhalte Bewertungen von A bis A+ mit den folgenden Einstellungen in nginx:

ssl_ciphers "EECDH+ECDSA+AESGCM EECDH+aRSA+AESGCM EECDH+ECDSA+SHA384 EECDH+ECDSA+SHA256 EECDH+aRSA+SHA384 EECDH+aRSA+SHA256 EECDH+aRSA+RC4 EECDH !DHE !aNULL !eNULL !LOW !3DES !MD5 !EXP !PSK !SRP !DSS !RC4";
ssl_protocols "TLSv1 TLSv1.1 TLSv1.2";

(Möglicherweise müssen Sie durch Kommas getrennte Listen angeben. Hängt von der Serversoftware ab.)

Dies sollte für die Bewertung B ausreichen.

Ich verwende außerdem folgende Aussage:

ssl_prefer_server_ciphers on;

Dies verhindert eine Herabstufung der Sicherheit auf der Clientseite. Hoffentlich macht Ihr Anbieter dies standardmäßig, da ich in der von Ihnen geposteten Konfiguration keine Option sehe, die Sie festlegen könnten.

Wenn Sie zusätzlich implementieren könnenHSTSSie können die Bewertung auf A+ verbessern. HSTS zu implementieren bedeutet, einen HTTP-Header wie diesen zu liefern:

Strict-Transport-Security: max-age=31536000; includeSubDomains

Dies führt dazu, dass moderne Browser keine ungesicherten Verbindungen zu dem Server herstellen, der diesen Header in den letzten 31.536.000 Sekunden gesendet hat.

verwandte Informationen