技術支持 ev-ssl-support

您現在所在的位置 首頁 > 技術支持 > 對外服務網站TLS(安全傳輸層協議)部署指南

對外服務網站TLS(安全傳輸層協議)部署指南

本文由沃通翻譯整理,英文原文:transport-layer-security-tls-for-external-facing-services

注: 本版本為ALPHA版。如果有任何反饋請發送到地址[email protected]

傳輸層安全(TLS)是一個保證通信的應用程序,用戶,通信服務之間的隱私的協議。當服務器和客戶端進行通信時,配置好的TLS確保沒有第三方可以竊聽或篡改任何消息。

本指南是支持公共部門服務的配置,能夠接收來自未知客戶或服務的輸入連接。具體來說,它涵蓋了經營一個公共網站的情況和使用簡單郵件傳輸協議(SMTP)。

本指南不涉及虛擬專用網絡(VPN)TLS使用。關于這一主題的指南將會在即將出版的出版物中提出。

在寫這篇文章的時候,TLS的當前版本是1.2版。1.2版本在1.0的版本的上進行了安全性改進。所有版本的SSL(TLS的前身)在現在都被認為是不安全的。

在公網中,有不少關于配置TLS的好的資源。在可能的情況下,本文參考了這些資源而不是重復他們所表達的好意見。

Web服務器部署TLS

用戶訪問一個有組織的公共數據服務器時需要有信心。他們需要相信他們正在訪問一個合法的服務。并且他們的通信是私人的,不受干擾的。TLS協議正式提供了這種安全。

TLS在Web服務器中通過HTTPS而被熟知–是在TLS上的HTTP

選擇協議版本,加密算法和參數。

有許多配置選項影響服務器的安全性和通信的安全性。不幸的是,根據您的用戶基礎的不同,選擇最安全的配置可能意味著一些用戶無法連接到您的服務器。為此,您可能需要在安全性和用戶之間找到一個平衡點。在Mozilla的建議中,根據需要支持的瀏覽器版本,可以分為幾個TLS配置描述(現代’,’中間’,和’老’)。使用’老’的配置是危險的,應該避免,因為這將意味著支持不安全的SSL協議。

您應該配置網絡服務器最近的版本的協議和更安全的選項。服務器還應使配置不能恢復到初始的舊標準。Mozilla的指南提供了一些好的建議和關于如何配置你的Web服務器的優先級邏輯。

在網絡服務中,用戶只能訪問已知(維護)的終端用戶設備,然后它應該部署一個嚴格的加密配置文件。在這些情況下,我們建議你用一個以下TLS配置進行配置。

安全配置建議

有一些很好的指南提供了HTTPS配置建議

Qualys – SSL/TLS Deployment Best Practices

Google – Webmasters: Secure Your Site with HTTPS

Mozilla Security/Server Side TLS

除了上面提到的指南,CESG推薦以下數字公共服務:

發布服務器只使用HTTPS。

當你訪問HTTP時自動幫你跳轉到HTTPS版本。

使用支持Web框架的TLS庫最新版本。如果不及時修補漏洞,根據庫中的漏洞,會被迅速利用。

遵循Qualys公司的安全應用設計指南。詳情請見下文的第四章 [Qualys – SSL/TLS Deployment Best Practices](https://www.ssllabs.com/downloads/SSL_TLS_Deployment_Best_Practices.pdf}.
啟用HTTP嚴格安全傳輸(HSTS)幫助瀏覽器安全連接到您的服務器。應采取至少一個下列步驟:

1.當網站嘗試訪問HTTPS時添加HSTS的標頭。這可以使得以后瀏覽器只申請訪問HTTPS(直到標頭到有效期為止)。

2.添加您的網站至HSTS預讀列表,這樣新瀏覽器在訪問時會自動從HTTP跳轉至HTTPS。

Chrome的預讀列表包含了許多其他瀏覽器的預讀列表。

服務器證書應獲得于可靠和信譽良好的來源(見下文)。

使用EV證書可以進一步提高客戶對服務器的合法性的信心。

確保你可以及時吊銷證書。當你選擇好CA的時候你就應該可以這樣做。

當用戶的瀏覽器不能提供相應的TLS算法時,應該提醒并且提供相應的升級操作系統于瀏覽器的信息以幫助用戶進行升級。

部署TLS郵件服務器

E-mail是在不可信的載體上傳輸的如互聯網。因此其完整性和保密性應該受到保護。雖然郵件加密和保持郵件完整性在個人E-mail中是可行的(如使用PGP和S/MIME)。這只能依賴于保護消息的保密性,如果發送者和接收者使用電子郵件客戶端必須擁有所需的信任基礎設施。但是讓所有的通訊都滿足條件是不可能的,因此我們建議面向Internet的郵件服務器(特別是那些作為郵件傳輸代理)配置支持TLS并且使用STARTTLS方法作為他們的郵件服務器之間運輸。以下部分提供了TLS與SMTP的使用建議。

SMTP安全介紹

SMTP服務器作為郵件傳輸代理(MTA)之間的連接通常使用TCP端口25? 。當鏈接方使用STARTTLS命令時,兩MTA之間的SMTP連接將會加密。當雙方都配置好了,這將不安全的SMTP連接變成安全的,隨后的SMTP命令將會在一個安全的鏈接發送。我們推薦使用STARTTLS支持所有的面向Internet的MTA與英國公共部門。

選擇協議版本,加密算法和參數

我們建議您的郵件服務器配置的加密配置文件如下。由于連接方未知的狀況,有必要支持比較弱的加密配置文件和協議,如果你一定要從一些地方接收電子郵件甚至需要支持明文收發或傳輸的電子郵件。

在與你定期交換信息的的人當中(如其他公共部門的組織),可以配置連接使得TLS會一直使用郵件服務器提供的證書進行身份驗證驗證雙方身份。

安全配置建議

為了TLS連接被建立,連接到您的服務需要通過驗證了X.509v3的證書驗證服務器的身份。這意味著你的服務器將需要一個由權威簽署的一方連接到您的服務器承認和信任的證書。如果您使用的是基于云的電子郵件提供商,或使用PSN郵件中繼路由外部電子郵件,那么這應該已經為你做好了同時很容易測試出來。然而,如果你經營自己的MTA,你應該遵循下面的建議,選擇一個CA和強大的參數去申請一個證書。

為了避免您的域名被冒用(如垃圾郵件或網絡釣魚),你應該配置SPF,DKIM和DMARC幫助其他郵件服務器記錄你的域名。

選擇證書頒發機構(CA

TLS使用X.509v3證書密碼驗證去驗證一個或兩個通信方的身份。如果連接方能夠驗證所提出的證書是由它的信任,那么安全通信應建立。因此,重要的是要選擇一個可以連接到您的服務的那些廣泛信任的CA。如果選擇一個不太常見的CA,您的服務所提出的證書可能無法通過連接方驗證,而另一方可以選擇不繼續會話。

為了驗證服務器提交的證書,網絡瀏覽器或郵件服務器可以使用它自己的可信根目錄存儲,或者它可以引用操作系統所信任的CA庫。如果你選擇的CA不在可信任的CA庫當中,你需要可能的網絡瀏覽器或郵件服務器尋找支持你選擇的CA并且連到你的服務器中。

申請證書

為了有一個由CA簽名的X.509證書,你通常會生成自己的私人密鑰,并發送證書到證書簽名請求(CSR)的CA簽署,直到你得到您的私人密鑰。在你申請私鑰和簽名請求時你需要選擇幾個參數。主要是選擇是否支持RSA證書和密鑰,或橢圓曲線密碼體制(ECC);也可以提供可接受的安全。一些電子郵件和Web服務器同時支持ECC和RSA,并且根據TLS協商連接方選擇合適的證書。

如果一個RSA證書生成,我們推薦使用以下參數:

2048位的RSA與SHA256。

如果一個ECC證書生成,我們推薦你使用以下參數:

ECDSA-256 與在 P-256 曲線上的SHA256。

測試

基于可用于TLS配置選項的范圍廣泛,我們建議公共部門機構應該使用自動掃描定期測試配置的Web服務器和郵件服務器。有大量的公開可用的工具來幫助測試配置你的網站或郵件服務器的TLS。下列工具,也許會幫上你的忙:

Qualys SSL Server Test

Check TLS services from?checktls.com

這些掃描將確定最常見的情況和配置問題。他們不應該被看成深入測試技術的代替品,但是如果你已經使用了這些工具去確定問題,那么那些深入測試技術者就有更多時間去尋找你的服務器中單獨并且獨特的缺陷。

需要注意的是,雖然其他人測試你收到電子郵件安全與否是可能的,但是不經過你的合作讓別人測試你的服務來服務器的郵件安全是不可能的(你要發送一封電子郵件給一個測試服務,如由checktls。COM提供)。

TLS加密文件者優先

支不支持傳統的瀏覽器或應用程序并不是一個問題。我們建議你為了TLS選擇下面的兩個密碼之中的一種

TLS的組合1 B

tls協議

TLS的基礎型

取決于設備和基礎設施的支持,部署TLS的組合1 B型可能無法實現。一個合適的替代品是TLS的基礎型。這檔由RFC兼容的TLS使用下表中給出的算法:

TLS

根據這些簡介我們可以看到他們之間的差別,如通過使用GCM模式而不是CBC模式,或使用PFS與否。

其他信息

本指南是由CESG,英國國家技術權威的信息保障。CESG提供了英國政府機構的建議和英國政府的服務。此指南是提供給觀眾使用的。他提供了我們可能遇到的具體的例子。它應該被用來幫助告知風險管理決策,但是他不應該用于做決定。他不是詳盡的,不是針對個人的需求的,也不作為任何指定的技術的認可。它不是一個獨立的專家咨詢。用戶應該確保他們使用來自CESG的指南時采取適當的技術和法律咨詢。

本指南無任何明示或暗示的任何保證,本文不為此文章的完整性,內容,質量,準確性做任何保證。如果因此造成了任何損失或招致的某人產生了任何費用,CESG將不會對此負責。

 

烈火江西时时软件