Скриншот: Сервер с Wowza, работающий с использованием SSL-сертификата с базовой конфигурацией
Я получаю этот результат от SSLLabs с конфигурацией по умолчанию (см. скриншот). Единственное место, где я могу изменить конфигурацию, это, вероятно, VHost.xml, где я могу настроить следующие элементы:
<SSLConfig>
<KeyStorePath></KeyStorePath>
<KeyStorePassword>[REMOVED]</KeyStorePassword>
<KeyStoreType>JKS</KeyStoreType>
<DomainToKeyStoreMapPath>${com.wowza.wms.context.VHostConfigHome}/conf/jksmap.txt</DomainToKeyStoreMapPath>
<SSLProtocol>TLS</SSLProtocol>
<Algorithm>SunX509</Algorithm>
<CipherSuites></CipherSuites>
<Protocols></Protocols>
</SSLConfig>
Я прочитал этоhttps://www.wowza.com/docs/how-to-improve-ssl-configuration, но это не особо помогает.
Вопрос: Что можно добавить в пункты «Наборы шифров» и «Протоколы», чтобы получить более актуальную SSL-конфигурацию? Или где об этом можно почитать?
решение1
В ссылке на документацию, которую вы дали, не упоминается используемое серверное программное обеспечение. Но из зарегистрированных сообщений я делаю вывод, что оно понимает общие термины OpenSSL.
Я получаю рейтинги от A до A+, используя следующие настройки в nginx:
ssl_ciphers "EECDH+ECDSA+AESGCM EECDH+aRSA+AESGCM EECDH+ECDSA+SHA384 EECDH+ECDSA+SHA256 EECDH+aRSA+SHA384 EECDH+aRSA+SHA256 EECDH+aRSA+RC4 EECDH !DHE !aNULL !eNULL !LOW !3DES !MD5 !EXP !PSK !SRP !DSS !RC4";
ssl_protocols "TLSv1 TLSv1.1 TLSv1.2";
(Возможно, вам придется предоставить списки, разделенные запятыми. Зависит от программного обеспечения сервера.)
Этого должно быть достаточно для получения оценки B.
Я также использую следующее утверждение:
ssl_prefer_server_ciphers on;
Это предотвращает понижение уровня безопасности со стороны клиента. Надеюсь, ваш провайдер делает это по умолчанию, потому что я не вижу опции, которую вы могли бы установить в конфигурации, которую вы опубликовали.
Если вы можете дополнительно реализоватьHSTSвы можете улучшить рейтинг до A+. Реализация HSTS означает доставку HTTP-заголовка следующим образом:
Strict-Transport-Security: max-age=31536000; includeSubDomains
Это заставляет современные браузеры отказываться устанавливать незащищенные соединения с сервером, который отправил этот заголовок в течение последних 31 536 000 секунд.