Mejores prácticas: configuración SSL de Wowza

tag-icon tag-icon ssl java best-practices cipher
Mejores prácticas: configuración SSL de Wowza

Captura de pantalla: Servidor con Wowza ejecutándose usando un certificado SSL con configuración básica

Obtengo este resultado de SSLLabs con la configuración predeterminada (ver captura de pantalla). Los únicos lugares donde puedo cambiar la configuración es probablemente VHost.xml donde puedo configurar los siguientes elementos:

<SSLConfig>
    <KeyStorePath></KeyStorePath>
    <KeyStorePassword>[REMOVED]</KeyStorePassword>
    <KeyStoreType>JKS</KeyStoreType>
    <DomainToKeyStoreMapPath>${com.wowza.wms.context.VHostConfigHome}/conf/jksmap.txt</DomainToKeyStoreMapPath>
    <SSLProtocol>TLS</SSLProtocol>
    <Algorithm>SunX509</Algorithm>
    <CipherSuites></CipherSuites>
    <Protocols></Protocols>
</SSLConfig>

Leo estohttps://www.wowza.com/docs/how-to-improve-ssl-configuration, pero no me ayuda mucho.

Pregunta: ¿Qué puedo agregar a los elementos "Suites de cifrado" y "Protocolos" para obtener una configuración SSL más actualizada? ¿O dónde puedo leer sobre esto?

Respuesta1

El enlace de documentación que proporcionó no menciona el software de servidor utilizado. Pero por los mensajes registrados concluyo que comprende los términos comunes de OpenSSL.

Obtengo calificaciones de A a A+ usando la siguiente configuración en nginx:

ssl_ciphers "EECDH+ECDSA+AESGCM EECDH+aRSA+AESGCM EECDH+ECDSA+SHA384 EECDH+ECDSA+SHA256 EECDH+aRSA+SHA384 EECDH+aRSA+SHA256 EECDH+aRSA+RC4 EECDH !DHE !aNULL !eNULL !LOW !3DES !MD5 !EXP !PSK !SRP !DSS !RC4";
ssl_protocols "TLSv1 TLSv1.1 TLSv1.2";

(Tal vez deba proporcionar listas separadas por comas. Depende del software del servidor).

Esto debería ser suficiente para obtener una calificación B.

También uso la siguiente declaración:

ssl_prefer_server_ciphers on;

Esto evita degradar la seguridad desde el lado del cliente. Esperemos que su proveedor haga esto de forma predeterminada porque no veo una opción que pueda establecer en la configuración que publicó.

Si además puedes implementarHSTSpuedes mejorar la calificación a A+. Implementar HSTS significa entregar un encabezado HTTP como este:

Strict-Transport-Security: max-age=31536000; includeSubDomains

Esto hace que los navegadores modernos se nieguen a realizar conexiones no seguras al servidor que emitió este encabezado en los últimos 31.536.000 segundos.

información relacionada