अपने वेब सर्वर (अपाचे/लिनक्स) पर एसएसएल सेवाओं को सुदृढ़ बनाना: 3 कदम

2024 लेखक: John Day | [email protected]. अंतिम बार संशोधित: 2024-01-30 09:23

यह साइबर सुरक्षा के एक पहलू से संबंधित एक बहुत छोटा ट्यूटोरियल है - आपके वेब सर्वर पर एसएसएल सेवा की ताकत। पृष्ठभूमि यह है कि आपकी वेब साइट पर एसएसएल सेवाओं का उपयोग यह सुनिश्चित करने के लिए किया जाता है कि कोई भी उस डेटा को हैक नहीं कर सकता है जिसे आपकी वेब साइट से प्रेषित किया जा रहा है। ओपनएसएसएल में हार्टब्लिड बग और एसएसएल 3.0 कमजोरियों का फायदा उठाने वाले पूडल बग जैसी कमजोर एसएसएल सेवाओं पर अच्छी तरह से प्रचारित हमले हुए हैं। (यह क्षेत्र एक गतिशील लक्ष्य है इसलिए आपको अपने आईएसओ 27001 प्लान-डू-चेक-एक्ट (पीडीसीए) चक्र में एसएसएल परीक्षण बनाने की आवश्यकता है।)

जब किसी मान्यता प्राप्त प्रदाता से प्रमाणपत्र का उपयोग करके आपकी वेब साइट पर ssl स्थापित किया जाता है, तो आप देखेंगे कि आपकी वेबसाइट को https://yourdomain.com से एक्सेस किया जा सकता है। इसका मतलब है कि डेटा एन्क्रिप्टेड प्रारूप में आगे और पीछे प्रेषित होता है। इसके विपरीत, https://yourdomain.com या कमजोर एन्क्रिप्शन स्पष्ट पाठ में प्रेषित डेटा को उजागर करता है जिसका अर्थ है कि एक किडी हैकर भी आपके पासवर्ड डेटा आदि तक आसानी से उपलब्ध टूल जैसे कि Wireshark का उपयोग कर सकता है।

इस ट्यूटोरियल के बाकी हिस्सों के लिए, मुझे लगता है कि आप लिनक्स पर अपने वेब सर्वर के रूप में अपाचे का उपयोग कर रहे होंगे और आपके पास टर्मिनल एमुलेटर जैसे पुट्टी के माध्यम से आपके वेब सर्वर तक पहुंच है। सादगी के लिए, मैं यह भी मानने जा रहा हूं कि आपके आईएसपी ने आपका एसएसएल प्रमाणपत्र प्रदान किया है और आपके पास इसके कुछ पहलुओं को फिर से कॉन्फ़िगर करने की क्षमता है।

चरण 1: अपनी एसएसएल सेवा की ताकत का परीक्षण

बस https://www.ssllabs.com/ssltest/ पर जाएं और होस्टनाम बॉक्स के बगल में अपना डोमेन नाम दर्ज करें और "बोर्ड पर परिणाम न दिखाएं" चेकबॉक्स चुनें और सबमिट बटन पर क्लिक करें। (कृपया ध्यान दें कि आपको बिना पूर्व अनुमति के किसी भी डोमेन का परीक्षण नहीं करना चाहिए और आपको कभी भी बोर्ड पर परिणाम नहीं दिखाना चाहिए।)

परीक्षण चलाए जाने के बाद, आपको F से A+ तक का अंक दिया जाएगा। आपको एक विस्तृत परीक्षा परिणाम दिया जाएगा जो उम्मीद है कि आपको यह स्पष्ट कर देगा कि आपको अपना निर्धारित स्कोर क्यों दिया गया है।

विफल होने के सामान्य कारण हैं क्योंकि आप पुराने घटकों जैसे सिफर या प्रोटोकॉल का उपयोग कर रहे हैं। मैं जल्द ही सिफर पर ध्यान केंद्रित करूंगा लेकिन पहले क्रिप्टोग्राफिक प्रोटोकॉल के बारे में एक त्वरित शब्द।

क्रिप्टोग्राफिक प्रोटोकॉल कंप्यूटर नेटवर्क पर संचार सुरक्षा प्रदान करते हैं। … कनेक्शन निजी (या सुरक्षित) है क्योंकि सममित क्रिप्टोग्राफी का उपयोग प्रेषित डेटा को एन्क्रिप्ट करने के लिए किया जाता है। दो मुख्य प्रोटोकॉल टीएलएस और एसएसएल हैं। उत्तरार्द्ध उपयोग से प्रतिबंधित है और बदले में, टीएलएस विकसित हो रहा है और इसलिए जैसा कि मैं इसे लिखता हूं, नवीनतम संस्करण 1.3 है, हालांकि ड्राफ्ट प्रारूप में। व्यावहारिक रूप से, जनवरी 2018 तक, आपके पास केवल TLS v 1.2 होना चाहिए। सक्षम। संभवत: टीएलवी वी 1.3 के लिए एक कदम होगा। 2018 के दौरान। क्वालिस टेस्ट में सूचीबद्ध किया जाएगा कि आपने कौन से क्रिप्टोग्राफिक प्रोटोकॉल लागू किए हैं और वर्तमान में, यदि आप टीएलएस v 1.2 से नीचे का उपयोग कर रहे हैं, तो आपको खराब स्कोर प्राप्त होगा।

क्रिप्टोग्राफ़िक प्रोटोकॉल के बारे में कहने के लिए एक आखिरी बात, जब आप एक मुख्यधारा के आईएसपी जैसे गोडाडी से एक वेब पैकेज और एसएसएल प्रमाणपत्र खरीदते हैं, तो यह टीएलएस वी 1.2 होगा। जो अच्छा है लेकिन आगे लाइन के नीचे, आपको टीएलएस वी 1.3 कहने के लिए अपग्रेड करना मुश्किल हो सकता है। व्यक्तिगत रूप से, मैं अपने स्वयं के एसएसएल प्रमाणपत्र स्थापित करता हूं और इसलिए बोलने के लिए, मैं अपने भाग्य के नियंत्रण में हूं।

चरण 2: एसएसएल परिवर्तन करने के लिए अपाचे को पुन: कॉन्फ़िगर करना

क्वालिस एसएसएल परीक्षण में परीक्षण किए गए महत्वपूर्ण क्षेत्रों में से एक और इस खंड का फोकस सिफर सूट है जो आपके प्रेषित डेटा की एन्क्रिप्शन ताकत निर्धारित करता है। मेरे डोमेन में से एक पर क्वालिस एसएसएल परीक्षण से एक उदाहरण आउटपुट यहां दिया गया है।

सिफ़र सुइट # TLS 1.2 TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (0xc030) ECDH secp256r1 (सर्वर-वरीय क्रम में सुइट्स) (eq। 3072 बिट्स आरएसए) FS256TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (0xc02f) ECDH secp256r1 (eq। 3072 बिट्स आरएसए) FS128TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (0xc028) ECDH secp256r1 (eq। 3072 बिट्स RSA) FS256TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (0xc027) ECDH secp256r1 (eq। 3072 बिट्स RSA) FS128

आप अपनी क्वालिस परीक्षण रिपोर्ट से लाल रेखाओं (विफल) को हटाने के लिए अपने अपाचे कॉन्फ़िगरेशन को फिर से कॉन्फ़िगर करने में काफी समय व्यतीत कर सकते हैं लेकिन मैं सर्वोत्तम सिफर सूट सेटिंग्स प्राप्त करने के लिए निम्नलिखित दृष्टिकोण की अनुशंसा करता हूं।

1) अपाचे वेब साइट पर जाएं और सिफर सूट के उपयोग के लिए उनकी सिफारिशों को प्राप्त करें। लिखते समय, मैंने इस लिंक का अनुसरण किया -

2) अपनी अपाचे कॉन्फ़िगरेशन फ़ाइल में अनुशंसित सेटिंग जोड़ें और अपाचे को पुनरारंभ करें। यह उनकी अनुशंसित सेटिंग थी जिसका मैंने उपयोग किया था।

SSLCipherSuite ECDHE-ECDSA-AES256-GCM-SHA384: ECDHE-RSA-AES256-GCM-SHA384: ECDHE-ECDSA-CHACHA20-POLY1305: ECDHE-RSA-CHACHA20-POLY1305: ECDHE-ECDSA-AES128-GCM-ECDSA-AES128-GCM- -AES128-GCM-SHA256: ECDHE-ECDSA-AES256-SHA384: ECDHE-RSA-AES256-SHA384: ECDHE-ECDSA-AES128-SHA256: ECDHE-RSA-AES128-SHA256

नोट्स - चुनौतियों में से एक यह है कि आपको अपने SSLCipherSuite निर्देश को बदलने के लिए किस फ़ाइल की आवश्यकता है, ऐसा करने के लिए, पुट्टी पर लॉग इन करें और आदि निर्देशिका (sudo cd / etc) में लॉग इन करें, apache2 या http जैसी apache निर्देशिका की तलाश करें। इसके बाद, apache निर्देशिका पर इस प्रकार एक खोज करें: grep -r "SSLCipherSuite" /etc/apache2 - यह आपको इसके समान आउटपुट देगा:

/etc/apache2/mods-available/ssl.conf:#SSLCipherSuite High:MEDIUM:!aNULL:!MD5:!RC4:!DES/etc/apache2/mods-available/ssl.conf:#SSLCipherSuite High:!aNULL: !MD5:!RC4:!DES /etc/apache2/mods-available/ssl.conf:#SSLCipherSuite ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+3DES:DH+3DES:RSA+AESGCM:RSA+AES:RSA+3DES:!aNULL:!MD5:!DSS

ध्यान देने योग्य महत्वपूर्ण बात यह है कि फ़ाइल /etc/apache2/mods-available/ssl.conf या जो भी आपकी है। नैनो जैसे संपादक का उपयोग करके फ़ाइल खोलें और # एसएसएल सिफर सूट: अनुभाग पर जाएं। इसके बाद निर्देश SSLCipherSuite में मौजूदा प्रविष्टि को Apache वेबसाइट से ऊपर वाली प्रविष्टि से बदलें। पुराने SSLCipherSuite निर्देशों पर टिप्पणी याद रखें और Apache को पुनरारंभ करें - मेरे मामले में, मैंने sudo /etc/init.d/apache2 पुनरारंभ टाइप करके ऐसा किया।

ध्यान दें कि कभी-कभी आपको विशिष्ट सिफर को हटाने की आवश्यकता हो सकती है जो आपको कम क्वालिस एसएसएल टेस्ट स्कोर दे रहे हैं (जैसे कि नई कमजोरियों की खोज की गई है) भले ही आपने अनुशंसित अपाचे सेटिंग्स का उपयोग किया हो। एक उदाहरण यह है कि यदि आपकी क्वालिस रिपोर्ट TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (0xc030) पर निम्न पंक्ति लाल (असफल) दिखाई देती है, तो पहला कदम यह पता लगाना है कि आपको अपने Apache SSLCipherSuite निर्देश में किस कोड को बदलने की आवश्यकता है। कोड खोजने के लिए, https://www.openssl.org/docs/man1.0.2/apps/ciphers… पर जाएं - यह कोड इस प्रकार दिखाता है: TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 ECDHE-RSA-AES256-GCM-SHA384

ECDHE-RSA-AES256-GCM-SHA384 लें और इसे उस प्रविष्टि से हटा दें जिसे आपने Apache Apache SSLCipherSuite निर्देश के रूप में जोड़ा था और फिर इसे:!

फिर से, अपाचे को पुनरारंभ करें और पुनः परीक्षण करें

चरण 3: निष्कर्ष

मेरे पास यह है कि आपने एसएसएल परीक्षण के बारे में कुछ सीखा है। इसके बारे में जानने के लिए और भी बहुत कुछ है लेकिन उम्मीद है, मैंने आपको सही दिशा में इंगित किया है। अपने अगले ट्यूटोरियल में, मैं साइबर सुरक्षा के अन्य क्षेत्रों को कवर करूंगा, इसलिए बने रहें।