Pracujte s certifikáty profesionálně

18.10.2021 | Jindřich Zechmeister

V loňském roce muselo následkům chybné manipulace s certifikátem čelit neuvěřitelných 60 % firem. Instalovaný certifikát ovlivňuje další aplikace a služby daného serveru a pokud je užíván chybně, může logicky dojít i k jejich výpadku. V následujícím článku vám poradíme, jak s certifikátem pracovat, protože jeho instalací správa nekončí. Pomocí pár tipů se můžete vyhnout tomu, abyste se stali součástí neradostných statistik, a zároveň maximalizovat zabezpečení, které vám certifikát přináší.

Mějte přehled o všech vašich certifikátech

Zkontrolujte si, které certifikáty máte nasazeny a online. Jejich počet vás možná zarazí; nezapomínejme na méně nápadné certifikáty pro subdomény, mailservery či interní účely. Abyste nemuseli vystavené certifikáty pracně lovit v paměti, využijte tzv. network scanner, přes který seznam certifikátů dostupných ve vaší síti získáte obratem. Online dostupných scannerů je více, vyzkoušejte například Cryptonice, ke kterému je vám k dispozici i detailní návod.

Udržet s certifikáty krok vám ale také pomohou nástroje na vašem zákaznickém účtu u SSLmarketu. Můžete si zde stáhnout přehled všech vystavených certifikátů a nastavit zasílání upozornění na jejich expiraci, která vám umíme zaslat e-mailem i formou SMS. Vhod vám také může přijít náš online kalendář, individuální pro každý účet. Přidáte si jej na mobil či desktop a najdete v něm jakoukoliv událost související s certifikátem.

Pojistěte si kontaktní osoby

Snadno může dojít k tomu, že zaměstnanec uvedený v objednávce certifikátu jako autorizační a současně i technická osoba vaši firmu opustí. Certifikační autorita poté nebude mít koho upozornit na blížící se expiraci či jinou událost a certifikát může bez vašeho vědomí například vypršet. Nejsnadnějším řešením je v objednávce rozlišit mezi autorizační a technickou osobou a ve správě vašeho SSLmarket účtu nastavit zasílání informací o expiraci certifikátu na oba kontakty. Přidat si můžete dokonce i další e-mailové adresy, které budeme kontaktovat a které nesouvisí s osobami uvedenými v objednávce.

Věnujte pozornost Wildcard certifikátům

Je dobře známo, že jeden Wildcard certifikát lze použít jak pro hlavní doménu, tak pro neomezené množství jejích subdomén. Co když ale dojde ke krádeži privátního klíče? Útočníci potom budou moci snadno zneužít kompromitovaný certifikát pro jakoukoliv stránku v doméně, pro kterou byl certifikát vystaven.

Dalším úskalím Wildcardu je, že v případě jeho kompromitace je nutné revokovat a znovuvystavit všechny jeho kopie nasazené na subdoménách. Pro oba scénáře, kvůli kterým nelze Wildcard certifikáty vystavit jako EV, je proto nejlepší prevencí vystavit každou kopii certifikátu s jiným privátním klíčem. V administraci SSLmarketu, kde si můžete vygenerovat neomezené množství klíčů a certifikát s nimi znovuvystavit, je to snadné a bezplatné.

Zkontrolujte si výchozí certifikáty

Například na Plesku, ale i na jiných systémech najdete tzv. defaultní, tedy výchozí certifikáty. Tyto certifikáty jsou typicky self-signed a pro prohlížeče nejsou důvěryhodné; pro produkční užití ani nebyly zamýšleny. Tyto certifikáty je třeba odstranit a nahradit důvěryhodným SSL/TLS certifikátem. Ověřte si v našem nástroji, zda defaultní certifikát neblokuje správnou instalaci získaného SSL/TLS certifikátu.

Udržujte aktuální nastavení vašeho serveru

Je to snadné. Zastaralé a zranitelné jsou následující verze SSL/TLS protokolu, deaktivujte je:

  • SSL v2
  • SSL v3
  • TLS 1.0
  • TLS 1.1

Místo nich aktivujte TLS 1.2 a TLS 1.3.

Ze šifrovacích sad deaktivujte:

  • DES
  • 3DES
  • RC

Správně bude certifikát fungovat pouze na takovém webserveru, který podporuje aktuální verze protokolu SSL/TLS a šifrovací sady. Pokud můžete, zapněte i protokoly http/2 a budoucí http/3. Spolu s TLS 1.3 zrychlí šifrovaný provoz. Jako vodítko pro nastavení konfigurace vám rozhodně doporučujeme nástroj SSL Configuration Generator.

O privátní klíč se starejte

Při operacích s privátním klíčem rozhodně nelitujte času, který investujete do jeho bezpečného uložení či do jeho další správy, pro kterou vám doporučujeme:

Certifikát prodlužujte s novým párem klíčů. Neobnovujte jej s původním CSR, protože tím automaticky recyklujete původní privátní klíč.

Pokud autorizační či technická osoba opouští firmu, zažádejte o znovuvystavení vašeho certifikátu s novým privátním klíčem.

Pokud si chcete soubory s certifikátem či privátním klíčem předat e-mailem, tak jedině šifrovaným. Šifrování pošty vám umožní S/MIME certifikáty, s jejichž nasazením vám rádi pomůžeme.

Nastavte si CAA záznam

Certificate Authority Authorization představuje typ DNS záznamu definující certifikační autority, které můžou pro domény v záznamu uvedené vystavovat certifikáty. Od roku 2017 se CAA záznamem musí řídit všechny CA. Nastavte si pro své domény CAA záznam, protože bez nastaveného CAA záznamu může certifikát pro vaši doménu vystavit jakákoliv CA. Jak na to se dozvíte v našem článku.

Tip na závěr

Nebojte se používat kryptografii ECC, zrychlí komunikaci mezi serverem a klientem. ECC kryptografie používá klíče založené na eliptických křivkách a podpora těchto klíčů je dnes již bezproblémová, u SSLmarketu dokonce součástí všech nabízených certifikátů.

A co dál?

Aktuální doporučení (tzv. best practices) můžete najít na https://www.ssllabs.com/projects/best-practices/index.html

Další aspekty zabezpečení serveru a praktické testy pak na SSLlabs.com.

Věříme, že pomocí našich tipů snadno vylepšíte správu vašich certifikátů a vytěžíte z nich maximum. S jakýmkoliv krokem vám samozřejmě rádi pomůžeme, stačí nás kontaktovat.

Zdroj:

https://www.digicert.com/security/tls-best-practice
Ing. Jindřich Zechmeister
Specialista pro bezpečnostní SSL certifikáty
DigiCert TLS/SSL Professional
e-mail: jindrich.zechmeister(at)zoner.cz