V minulom roku čelilo následkom nesprávnej manipulácie s certifikátmi neuveriteľných 60 % spoločností.
Nainštalovaný certifikát ovplyvňuje ostatné aplikácie a služby na danom serveri a v prípade nesprávneho použitia môže logicky viesť k ich zlyhaniu.
Vďaka niekoľkým tipom sa môžete vyhnúť tomu, aby ste sa stali súčasťou nešťastnej štatistiky, a zároveň maximalizovať bezpečnosť, ktorú vám certifikát prináša.
Sledujte všetky svoje certifikáty
Skontrolujte, ktoré certifikáty máte nasadené a online. Ich počet vás možno prekvapí; nezabudnite na menej nápadné certifikáty pre subdomény, poštové servery alebo interné účely. Ak sa chcete vyhnúť zdĺhavému hľadaniu vydaných certifikátov v pamäti, použite sieťový skener na získanie zoznamu certifikátov dostupných v sieti. Na internete je k dispozícii niekoľko skenerov. Vyskúšajte napríklad Cryptonice, ku ktorému je k dispozícii podrobná príručka.
Poistite si svoje kontakty
Ľahko sa môže stať, že zamestnanec uvedený v objednávke certifikátu ako autorizovaná aj technická osoba, opustí vašu spoločnosť. Certifikačná autorita potom nebude mať koho upozorniť na blížiace sa vypršanie platnosti alebo inú udalosť a platnosť certifikátu môže vypršať napríklad aj bez vášho vedomia.
Najjednoduchším riešením je rozlišovať v objednávke medzi autorizačnou a technickou osobou a nastaviť správu účtu SSLmarket tak, aby posielala informácie o vypršaní platnosti certifikátu obom kontaktom.
Venujte pozornosť certifikátom Wildcard
Je známe, že jeden certifikát Wildcard možno použiť pre hlavnú doménu aj neobmedzený počet jej subdomén. Ale čo ak je súkromný kľúč ukradnutý? Útočníci potom budú môcť kompromitovaný certifikát ľahko zneužiť pre akúkoľvek stránku v doméne, pre ktorú bol certifikát vydaný.
Skontrolujte svoje predvolené certifikáty
Napríklad v systéme Plesk (ale aj v iných systémoch) nájdete takzvané predvolené certifikáty. Tieto certifikáty sú zvyčajne podpísané samotnými používateľmi a prehliadače im nedôverujú; dokonca ani neboli určené na produkčné použitie. Tieto certifikáty by sa mali odstrániť a nahradiť dôveryhodným certifikátom SSL/TLS.
Aktualizujte nastavenia servera
Je to jednoduché. Nasledujúce verzie protokolu SSL/TLS sú zastarané a zraniteľné, zakážte ich: SSL v2, SSL v3, TLS 1.0, TLS 1.1. Namiesto toho aktivujte TLS 1.2 a TLS 1.3. Deaktivujte nasledujúce súbory šifier: DES, 3DES, RC.
Certifikát bude správne fungovať len na webovom serveri, ktorý podporuje aktuálne verzie a sady šifier SSL/TLS. Ak môžete, povoľte aj protokoly http/2 a budúci http/3. Určite odporúčame nástroj Generátor konfigurácie SSL ako sprievodcu pri nastavovaní konfigurácie.
Ing. Peter Tomaščík
špecialista na bezpečnostné SSL certifikáty, www.sslmarket.sk
Prečítajte si aj:
