Назад | Перейти на главную страницу

Рекомендация: Конфигурация Wowza SSL

Снимок экрана: Сервер с Wowza, работающий с использованием сертификата SSL с базовой конфигурацией

Я получаю этот результат от SSLLabs с конфигурацией по умолчанию (см. Снимок экрана). Единственное место, где я могу изменить конфигурацию, это, вероятно, VHost.xml, где я могу настроить следующие элементы:

<SSLConfig>
    <KeyStorePath></KeyStorePath>
    <KeyStorePassword>[REMOVED]</KeyStorePassword>
    <KeyStoreType>JKS</KeyStoreType>
    <DomainToKeyStoreMapPath>${com.wowza.wms.context.VHostConfigHome}/conf/jksmap.txt</DomainToKeyStoreMapPath>
    <SSLProtocol>TLS</SSLProtocol>
    <Algorithm>SunX509</Algorithm>
    <CipherSuites></CipherSuites>
    <Protocols></Protocols>
</SSLConfig>

Я читал это https://www.wowza.com/docs/how-to-improve-ssl-configuration, но я мало чем помогаю.

Вопрос: Что я могу добавить в пункты «Наборы шифров» и «Протоколы», чтобы получить более актуальную SSL-конфигурацию? Или где про это почитать?

Ссылка на документацию, которую вы дали, не упоминает используемое серверное программное обеспечение. Но из зарегистрированных сообщений я прихожу к выводу, что он понимает общие термины OpenSSL.

Я получаю оценки от A до A +, используя следующие настройки в nginx:

ssl_ciphers "EECDH+ECDSA+AESGCM EECDH+aRSA+AESGCM EECDH+ECDSA+SHA384 EECDH+ECDSA+SHA256 EECDH+aRSA+SHA384 EECDH+aRSA+SHA256 EECDH+aRSA+RC4 EECDH !DHE !aNULL !eNULL !LOW !3DES !MD5 !EXP !PSK !SRP !DSS !RC4";
ssl_protocols "TLSv1 TLSv1.1 TLSv1.2";

(Возможно, вы должны предоставить списки, разделенные запятыми. Зависит от программного обеспечения сервера.)

Этого должно быть достаточно, чтобы получить рейтинг B.

Я также использую следующее утверждение:

ssl_prefer_server_ciphers on;

Это предотвращает понижение уровня безопасности со стороны клиента. Надеюсь, ваш провайдер делает это по умолчанию, потому что я не вижу опции, которую вы могли бы установить в опубликованной вами конфигурации.

Если можно дополнительно реализовать HSTS вы можете повысить рейтинг до A +. Реализация HSTS означает доставку заголовка HTTP следующим образом:

Strict-Transport-Security: max-age=31536000; includeSubDomains

Это заставляет современные браузеры отказываться устанавливать незащищенные соединения с сервером, который отправил этот заголовок в течение последних 31 536 000 секунд.