Ako správne využiť SSL certifikát - časť tretia
17.1.2013 | Jindřich Zechmeister
Samotným nainštalovaním certifikátu práca na zabezpečení webu nekončí. V následujúcich štyroch článkoch prejdeme tieto aspekty z pohľadu súčasných bezpečnostných odporúčaní a vy si môžete overiť, či využívate certifikát správne a bezpečne. Treťou témou bude optimalizácia výkonu serveru pri použití SSL.
Samotným nainštalovaním certifikátu práca na zabezpečení webu nekončí. Dôležitá je aj správna konfigurácia servera, šifrovanie a ďalších parametrov. Treťou témou bude optimalizácia výkonu servera pri použití SSL.
Nepoužívajte dlhšie súkromné kľúče, než je nutné
Pri nadväzovaní SSL spojenia prehliadača so serverom a prebiehajúcim Handshake sú vykonávané operácie, ktorých náročnosť značne závisí na dĺžke použitého kľúča.
V súčasnosti sa v bežnej praxi považuje za úplne dostačujúcu hĺbka kľúčov 2048 bitov. Môžete samozrejme použiť aj vyššiu bitovú hĺbku kľúčov, ale nie je to zatiaľ nutné a pravdepodobne to bude mať aj vplyv na výkon servera pri šifrovaní (dlhšie prvé načítanie stránky pri handshake).
Kľúče s bitovou hĺbkou menšou ako 1024 bitov už nepoužívajte. Ani certifikačné autority túto a nižšiu hĺbku nepodporujú pri vystavovaní certifikátov; štandardom je už spomínaných 2048 bitov.
Presvedčte sa, že používate obnovu relácie
Obnova relácie, anglicky session resumption, je technológia optimalizácie výkonu, ktorá umožňuje uloženie výsledkov kryptografických operácií a do uplynutí určitého času ich umožňuje znova využiť. Vypnutie tejto technológie alebo jej nesprávne fungovanie môže vyústiť v značné výkonnostné straty.
Používajte trvalé udržovanie HTTP spojenia
Vyššiu záťaž serveru predstavuje skôr zvýšený sieťový prevádzok, ako na procesor náročné kryptografické operácie. Trvalé udržovanie spojenia (anglicky persistent connections) pomáha znižovať sieťový prevádzok medzi klientom a serverom, pretože nie je nutné nadväzovať nové spojenia a znova si vymieňať kľúče v tzv. SSL Handshake. S touto funkciou môže jeden klient preniesť väčšie množstvo dát iba s jedným TCP spojením.
Povoľte kešovanie verejných zdrojov
Dáta prenášané cez HTTPS sa v moderných prehliadačoch neukladajú na disk, ale nanajvýš do vyrovnávacej pamäte prehliadača v pamäti počítača. Po ukončení programu sú zmazané. Chovanie prehliadača je možné ovplyvniť funkciou response headers.
Informácie, ktoré nie sú dôverné - napríklad verejne dostupné obrázky - môžete nechať server načítať do vyrovnávacej pamäte (cache) a zlepšiť tak výkon pri veľkej návštevnosti vášho webu. Pre PHP nájdete túto možnosť vo funkcii "Cache-Control: public response header", v ASP sa nazýva "Response.CacheControl".
Dôverné informácie naopak v žiadnom prípade nekešujte.
V poslednej štvrtej časti cyklu sa budeme venovať návrhu aplikácie a implementácii SSL protokolu.
Cyklus Ako správne využiť SSL certifikát sa zakladá na bezpečnostných odporúčaniach spoločnosti Qualys, lídra na poli cloudovej bezpečnosti, a ich dokumentu SSL/TLS Deployment Best Practices.
Ďalšie časti seriálu:
