Снимок экрана: Сервер с Wowza, работающий с использованием сертификата SSL с базовой конфигурацией
Я получаю этот результат от SSLLabs с конфигурацией по умолчанию (см. Снимок экрана). Единственное место, где я могу изменить конфигурацию, это, вероятно, VHost.xml, где я могу настроить следующие элементы:
<SSLConfig>
<KeyStorePath></KeyStorePath>
<KeyStorePassword>[REMOVED]</KeyStorePassword>
<KeyStoreType>JKS</KeyStoreType>
<DomainToKeyStoreMapPath>${com.wowza.wms.context.VHostConfigHome}/conf/jksmap.txt</DomainToKeyStoreMapPath>
<SSLProtocol>TLS</SSLProtocol>
<Algorithm>SunX509</Algorithm>
<CipherSuites></CipherSuites>
<Protocols></Protocols>
</SSLConfig>
Я читал это https://www.wowza.com/docs/how-to-improve-ssl-configuration, но я мало чем помогаю.
Вопрос: Что я могу добавить в пункты «Наборы шифров» и «Протоколы», чтобы получить более актуальную SSL-конфигурацию? Или где про это почитать?
Ссылка на документацию, которую вы дали, не упоминает используемое серверное программное обеспечение. Но из зарегистрированных сообщений я прихожу к выводу, что он понимает общие термины OpenSSL.
Я получаю оценки от A до A +, используя следующие настройки в nginx:
ssl_ciphers "EECDH+ECDSA+AESGCM EECDH+aRSA+AESGCM EECDH+ECDSA+SHA384 EECDH+ECDSA+SHA256 EECDH+aRSA+SHA384 EECDH+aRSA+SHA256 EECDH+aRSA+RC4 EECDH !DHE !aNULL !eNULL !LOW !3DES !MD5 !EXP !PSK !SRP !DSS !RC4";
ssl_protocols "TLSv1 TLSv1.1 TLSv1.2";
(Возможно, вы должны предоставить списки, разделенные запятыми. Зависит от программного обеспечения сервера.)
Этого должно быть достаточно, чтобы получить рейтинг B.
Я также использую следующее утверждение:
ssl_prefer_server_ciphers on;
Это предотвращает понижение уровня безопасности со стороны клиента. Надеюсь, ваш провайдер делает это по умолчанию, потому что я не вижу опции, которую вы могли бы установить в опубликованной вами конфигурации.
Если можно дополнительно реализовать HSTS вы можете повысить рейтинг до A +. Реализация HSTS означает доставку заголовка HTTP следующим образом:
Strict-Transport-Security: max-age=31536000; includeSubDomains
Это заставляет современные браузеры отказываться устанавливать незащищенные соединения с сервером, который отправил этот заголовок в течение последних 31 536 000 секунд.