Prática recomendada: configuração SSL Wowza

tag-icon tag-icon ssl java best-practices cipher
Prática recomendada: configuração SSL Wowza

Captura de tela: Servidor com Wowza rodando usando um certificado SSL com configuração básica

Recebo esse resultado do SSLLabs com a configuração padrão (veja a captura de tela). Os únicos lugares onde posso alterar a configuração é provavelmente o VHost.xml onde posso configurar os seguintes itens:

<SSLConfig>
    <KeyStorePath></KeyStorePath>
    <KeyStorePassword>[REMOVED]</KeyStorePassword>
    <KeyStoreType>JKS</KeyStoreType>
    <DomainToKeyStoreMapPath>${com.wowza.wms.context.VHostConfigHome}/conf/jksmap.txt</DomainToKeyStoreMapPath>
    <SSLProtocol>TLS</SSLProtocol>
    <Algorithm>SunX509</Algorithm>
    <CipherSuites></CipherSuites>
    <Protocols></Protocols>
</SSLConfig>

eu li issohttps://www.wowza.com/docs/how-to-improve-ssl-configuration, mas eu não ajudo muito.

Pergunta: O que posso adicionar aos itens “Cipher Suites” e “Protocols” para obter uma configuração SSL mais atualizada? Ou onde posso ler sobre isso?

Responder1

O link da documentação que você forneceu não menciona o software de servidor usado. Mas pelas mensagens registradas concluo que ele entende os termos comuns do OpenSSL.

Estou obtendo classificações de A a A+ usando as seguintes configurações no nginx:

ssl_ciphers "EECDH+ECDSA+AESGCM EECDH+aRSA+AESGCM EECDH+ECDSA+SHA384 EECDH+ECDSA+SHA256 EECDH+aRSA+SHA384 EECDH+aRSA+SHA256 EECDH+aRSA+RC4 EECDH !DHE !aNULL !eNULL !LOW !3DES !MD5 !EXP !PSK !SRP !DSS !RC4";
ssl_protocols "TLSv1 TLSv1.1 TLSv1.2";

(Talvez você deva fornecer listas separadas por vírgulas. Depende do software do servidor.)

Isso deve ser suficiente para obter uma classificação B.

Eu também uso a seguinte afirmação:

ssl_prefer_server_ciphers on;

Isso evita o downgrade da segurança do lado do cliente. Espero que seu provedor faça isso por padrão, porque não vejo uma opção que você possa definir na configuração que postou.

Se você também puder implementarHSTSvocê pode melhorar a classificação para A+. Implementar HSTS significa entregar um cabeçalho HTTP como este:

Strict-Transport-Security: max-age=31536000; includeSubDomains

Isso faz com que os navegadores modernos se recusem a fazer conexões não seguras com o servidor que emitiu esse cabeçalho nos últimos 31.536.000 segundos.

informação relacionada