Defaults.Exposed › Opravy › Moderní šifrování (verze TLS a šifry)

Jak opravit Moderní šifrování (verze TLS a šifry)

TLS je zámek, který kóduje data proudící mezi vašimi návštěvníky a vaším webem. Dvě věci dělají tento zámek důvěryhodným: používání moderní verze TLS (nikoli staré, prolomené) a používání silných šifer (skutečný recept na kódování). Tato stránka pokrývá obojí — plus několik souvisejících nastavení, která neovlivňují vaše hodnocení, ale stojí za to znát.

Výsledek pro vaše podnikání: Pokud váš web běží na zastaralém šifrování nebo slabých šifrách, soukromé detaily, které vaši zákazníci zadávají — přihlášení, čísla karet, kontaktní informace — mohou být tiše zachyceny a přečteny na sdílených sítích a můžete selhat v bezpečnostních kontrolách, které banky, platební procesory a větší klienti nyní vyžadují, než s vámi budou obchodovat.

Co vás to může stát

Zákazník platí nebo se přihlašuje přes hotelové nebo kavárenské WiFi, zastaralé připojení nebo slabá šifra umožní cizinci na téže síti přečíst jejich kartu a heslo a podvod — a rozzlobený telefonní hovor — stopuje přímo na váš web.
Požádáte o přijímání plateb kartou (nebo vás váš platební poskytovatel znovu audituje) a dostanete odmítnutí, protože zastaralé TLS nebo zakázaná šifra porušuje pravidla platební bezpečnosti — váš online pokladní je zmrazen, dokud to neopravíte.
IT tým většího klienta provede rutinní bezpečnostní sken před podpisem, uvidí, že váš web stále povoluje prolomené šifrování a označí vás jako riziko — smlouva stagnuje kvůli problému, který stojí nic opravit.
Stížnost na ochranu dat nebo narušení dorazí na váš stůl a první otázka regulátorů je, zda jste zákaznická data chránili 'vhodně' — provozování šifrování, které je roky veřejně prolomené, je velmi obtížná odpověď.
Váš web zobrazuje zámek, takže všichni předpokládají, že je plně bezpečný a tato mezera jde roky nepovšimnuta — dokud jedno zachycené přihlášení nebo číslo karty se nestane incidentem daleko dražším, než by bezplatná oprava byla.

Proč na tom záleží. Šifrování, které je bezpečné, je neviditelné; šifrování, které je zastaralé nebo slabé, je závazek, který sedí tiše, dokud jednoho dne nestojí zákazníka, smlouvu nebo průchod compliance. Kontroly verze TLS a šifer jsou dvě části, které skutečně pohybují vaším hodnocením, a obě jsou typicky jediné bezplatné nastavení — neexistuje žádný přínos ponechání starých, prolomených možností zapnutých.

Prostými slovy

Když někdo navštíví váš web, vše, co zadají — přihlášení, čísla karet, jména, telefonní čísla, zprávy — je při přenosu zakódováno, aby cizinci nemohli číst. Technologie, která provádí kódování, se nazývá TLS (možná jste také slyšeli o SSL, jejím starším jménem). Aby bylo toto kódování skutečně bezpečné, musí být správné dvě věci:

Verze TLS — která generace technologie se používá. Rané verze (TLS 1.0 a 1.1) byly veřejně prolomeny roky; bezpečné jsou TLS 1.2 a TLS 1.3.
Šifra — konkrétní recept, který TLS používá k provedení kódování. Některé šifry (jako RC4, DES a 3DES) byly prolomeny a jsou nyní zakázány; moderní šifry jsou stále silné.

Tato stránka pokrývá obojí, protože web může mít jedno správně a druhé špatně. Můžete mít moderní zámek se starým, prolomitelným receptem stále zapnutým — nebo silný recept chráněný zastaralým zámkem. Každá mezera je otevřené dveře. Obojí je obvykle uzavřeno stejnou jedinou bezplatnou změnou nastavení serveru nebo hostingu.

Co vás to může stát

Zákazník je okraden na veřejné WiFi. Někdo se přihlásí na svůj účet nebo zaplatí z hotelu, kavárny nebo letiště. Protože váš web stále povoluje starou verzi TLS nebo slabou šifru, cizinec na téže síti vynutí připojení sestoupení na prolomitelnou možnost a přečte jejich heslo a číslo karty v reálném čase. Podvod dopadá na zákazníka, ale vina — a podpůrný hovor — dopadají na vás.
Vaše platby kartou jsou vypnuty. Pravidla platební bezpečnosti (PCI DSS) vyžadují TLS 1.2 jako minimum a explicitně zakazují slabé šifry jako RC4. Když váš procesor vás znovu audituje nebo když žádáte o přijímání karet, zastaralá konfigurace selže v kontrole a váš pokladní je zmrazen — přesně ve špatný moment pro peněžní tok.
Obchod stagnuje v bezpečnostní revizi. Před podpisem většího klienta jejich IT tým provede rutinní sken. Okamžitě označí, že váš web stále přijímá prolomené šifrování — druh nálezu, který vypadá nedbalým a nutí kupujícího přemýšlet, co dalšího je volné. Smlouva sedí v limbu kvůli problému, který stojí nic opravit.
Regulátor položí nepříjemnou otázku. Po jakékoli stížnosti nebo narušení je první věcí, co orgán ochrany dat chce vědět, zda jste chránili osobní data “vhodně.” Provozování šifrování, které je veřejně prolomené roky, je velmi obtížné bránit a “nevěděli jsme, že stará verze stále běžela” není pohodlná odpověď.
Skrývá se za zámkem roky. Protože váš web stále zobrazuje normální zámek, nikdo si mezerou nevšimne — dokud jedno zachycené přihlášení nebo číslo karty se nestane veřejným incidentem daleko dražším, než by pětiminutová oprava byla.

Co to vlastně je

Verze TLS

Web nepodporuje pouze jednu verzi TLS — může nabídnout několik najednou a nechat prohlížeč každého návštěvníka si vybrat. Moderní návštěvník použije nejnovější dostupnou verzi a uvidí normální zámek. Nebezpečí je, že staré, prolomené verze mohou sedět vedle dobrých jako otevřené zadní dveře: útočník může vynutit připojení návštěvníka “sestoupit” na TLS 1.0 nebo 1.1 a pak zneužít známé slabiny v těchto verzích (útoky BEAST a POODLE jsou slavné příklady) k dešifrování provozu.

Naše kontrola se tedy připojí k vašemu webu a testuje každou verzi jednotlivě — TLS 1.0, 1.1, 1.2 a 1.3 — aby viděla, které váš server stále přijímá. Zde je to, jak vypadá “dobré” a jak se hodnotí:

TLS 1.3 (s nebo bez 1.2) a žádné starší: nejlepší výsledek — moderní, čistá konfigurace. Plný počet bodů.
Pouze TLS 1.2, žádné 1.3: bezpečné a projde, ale necháváte nejnovější, nejrychlejší verzi na stole. Většina bodů; povolení 1.3 stojí za to.
TLS 1.0 nebo 1.1 stále přijímáno: automatické selhání, hodnocené nula a označeno jako kritické — nezáleží na tom, že 1.2/1.3 také fungují, protože prolomené verze jsou otevřené dveře. Toto musíte opravit.

Šifra

Jakmile je verze zvolena, TLS vybere šifru — skutečný algoritmus, který kóduje data. Většina moderních šifer je silná. Hrstka je prolomená a nesmí být nikdy použita: RC4 (jeho kódování je zkreslené a prozrazuje plaintext), DES (jeho klíč je tak krátký, že může být prolomen hrubou silou), 3DES (zranitelný útokem “Sweet32”), plus NULL (žádné šifrování vůbec), EXPORT-grade šifry (záměrně oslabené — útoky FREAK a Logjam) a anonymní šifry (žádná kontrola identity, takže podvodník může sedět uprostřed).

Naše kontrola šifer dělá dvě věci. Nejprve se podívá na šifru, kterou váš server skutečně vyjednal s námi. Pak — a to je důležitá část — aktivně se pokouší o handshake pomocí několika známých prolomených šifer (RC4, 3DES, EXPORT, NULL a anonymní varianty). Server může zvolit silnou šifru při komunikaci s moderním klientem, a přesto přijmout slabou, pokud útočník trvá — a to je skutečné riziko sestoupení. Pokud váš server přijme jakoukoli zakázanou šifru, kontrola ho označí; přijímání kritické (jako RC4 nebo NULL) je selhání. (Na TLS 1.3 zde není co se obávat — tato verze odstranila každou slabou šifru návrhem, takže sondy jsou přeskočeny.)

Tři informativní doplňky

Tři související položky jsou hlášeny, ale neovlivňují vaše hodnocení — jsou označeny jako informativní, protože nemohou být spolehlivě ověřeny zvenčí a na jakémkoliv moderním serveru nebo CDN jsou již správně zpracovány:

Komprese TLS (útok CRIME): stará funkce, která, pokud je ponechána zapnutá, by mohla útočníkovi umožnit vyloudit session cookies. Ve výchozím nastavení je zakázána ve všech moderních webových serverech více než desetiletí, takže je dnes fakticky nulový problém.
OCSP stapling: pohodlí výkonu a soukromí, kde váš server předem načítá důkaz, že jeho certifikát nebyl odvolán, takže každý návštěvník nemusí sám žádat certifikační autoritu (což je pomalejší a prozrazuje browsing data). CDN jako Cloudflare to dělají automaticky.
Bezpečné opakované vyjednávání: oprava staré chyby (CVE-2009-3555), která umožňovala útočníkům vkládat data do relace. TLS 1.3 opakované vyjednávání zcela odstranil, takže tam je to nulový problém, a moderní TLS 1.2 servery ve výchozím nastavení implementují opravu.

Zveřejňujeme je, aby váš IT pracovník měl celý obrázek, ale pro naprostou většinu majitelů není co dělat — vaše skóre je poháněno kontrolami verzí a šifer výše.

Jak to opravit (zdarma, ~30 minut)

Předejte tuto část vašemu IT pracovníkovi — oprava je zdarma. Tato sekce je pro toho, kdo spravuje vaši doménu, web nebo hosting. Oprava je konfigurační změna, ne nákup; účtujeme pouze monitoring, zda vaše šifrování zůstane správně nakonfigurované v čase. Jediná níže uvedená moderní konfigurace opraví naráz jak nálezy verzí, tak šifer.

Nejjednodušší spolehlivý přístup je generovat známou dobrou konfiguraci spíše než ji psát ručně: vložte typ svého serveru do generátoru konfigurace SSL Mozilly na https://ssl-config.mozilla.org/ a zvolte profil “Intermediate” (široká kompatibilita) nebo “Modern” (pouze TLS 1.3, pokud nepotřebujete podporovat nic starého). Vypíše správné řádky ssl_protocols a ssl_ciphers za vás.

Podle platformy:

Cloudflare nebo managed hosting — obvykle jeden nebo dva kliky. V Cloudflare: SSL/TLS → Certifikáty hrany → Minimální verze TLS → TLS 1.2 a sady šifer jsou za vás spravovány (platforma nenabídne zakázané šifry). Většina managed hostingů a tvůrců webů (Squarespace, Wix, Shopify, moderní WordPress hosting) již vynucují TLS 1.2+ se silnými šiframi — jen potvrďte, že žádná možnost “legacy TLS” nebo “kompatibilita starých prohlížečů” není stále zapnutá.

Nginx. Nastavte pouze moderní verze a explicitní seznam silných šifer, poté reloadujte:

ssl_protocols TLSv1.2 TLSv1.3;
ssl_ciphers 'ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384';
ssl_prefer_server_ciphers on;

(TLS 1.3 vyžaduje OpenSSL 1.1.1+ na boxu.)

Apache. Zakažte staré verze a přidejte seznam silných šifer, poté restartujte:

SSLProtocol all -SSLv3 -TLSv1 -TLSv1.1
SSLCipherSuite ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384
SSLHonorCipherOrder on

Windows / IIS. Použijte bezplatný nástroj IIS Crypto (nebo ekvivalentní nastavení registru) pro zakázání TLS 1.0 a 1.1, zakázání RC4/DES/3DES/NULL/EXPORT šifer a ponechání TLS 1.2 a 1.3 se silnými šiframi povoleným. Šablona “Best Practices” nástroje to udělá vše jedním kliknutím.
Informativní doplňky (volitelné, zdarma). Pokud chcete čistý sweep: na Nginx přidejte ssl_stapling on; ssl_stapling_verify on; (s řádkem resolver) pro OCSP stapling; na Apache, SSLUseStapling On. Komprese TLS a bezpečné opakované vyjednávání jsou již ve výchozím nastavení bezpečné na moderních serverech — není třeba žádná akce. Na Cloudflare jsou všechny tři zpracovány automaticky.
Ověřte, pak znovu zkontrolujte zde. Potvrďte, že zůstávají pouze bezpečné verze a šifry — například s nmap --script ssl-enum-ciphers -p 443 yourdomain.com nebo testujte na nástrojích odkazovaných https://ssl-config.mozilla.org/ — poté znovu spusťte tuto kontrolu. Kde je to možné, povolte TLS 1.3 vedle 1.2: je to rychlejší i bezpečnější.

Běžné chyby

“Máme zámek, takže jsme v pořádku.” Zámek pouze dokazuje, že zabezpečené připojení existuje. Neříká nic o tom, zda je stará verze nebo zakázaná šifra stále přijímána v pozadí — což je přesně mezera, kterou tyto kontroly najdou.
Oprava verze, ale ne šifer (nebo naopak). Zakázání TLS 1.0/1.1 automaticky neodstraní RC4 nebo 3DES a přidání silných šifer automaticky nezakáže staré verze. Nastavte obojí — vygenerovaná konfigurace výše to dělá.
Ponechání “legacy” nebo “kompatibilita starých prohlížečů” přepínačů zapnutých. Mnoho hostingů a CDN má možnost, která tiše znovu povolí prolomené verze nebo slabé šifry “pro kompatibilitu.” Téměř nikdy nepomáhá skutečnému návštěvníkovi a přímo způsobuje tento nález.
Zapomenutí skutečně reloadovat/restartovat server. Konfigurační změny se neprojeví, dokud není webový server reloadován — překvapivě běžný důvod, proč “opravený” web stále selže v re-kontrole.
Konfigurace jednoho serveru, ale ne všech. Pokud provozujete load balancer, více webových serverů nebo oddělené subdomény (shop, blog, app), každý TLS endpoint potřebuje stejnou konfiguraci — nejslabší je to, na co útočník cílí.

Co si zapamatovat

Verze TLS a šifra jsou dvě části vašeho šifrování, které skutečně pohybují vaším hodnocením, a obojí se scvrkává na vypnutí možností, které jsou veřejně prolomeny roky. Oprava je zdarma, je to obvykle jeden moderní konfigurační řádek na server a pro normálního návštěvníka se nic nemění kromě toho, že jejich připojení je skutečně bezpečné. Relacionované položky — komprese, OCSP stapling, bezpečné opakované vyjednávání — stojí za to znát, ale neovlivní vaše skóre a na jakémkoliv moderním nastavení jsou za vás již zpracovány.

Časté dotazy

Nejsem technik — mohu to vyřešit sám?

Nemusíte rozumět technickým detailům. Na většině moderního hostingu jde o jedno nebo dvě nastavení a je to zdarma. Předejte sekci 'Jak to opravit' níže tomu, kdo provozuje váš web nebo hosting (nebo vašemu IT poskytovateli) — je to obvykle pěti- až desetiminutová změna bez viditelného rozdílu pro vaše návštěvníky kromě bezpečnějšího připojení.

Přeruší přepnutí na moderní šifrování práci starých prohlížečů zákazníků?

V praxi ne. Každý moderní prohlížeč a telefon přibližně z poslední dekády již ve výchozím nastavení používá nové šifrování a silné šifry — rok co rok. Jediné věci, které spoléhaly na staré verze nebo slabé šifry, jsou samy zastaralé a nebezpečné, což je přesně důvod, proč je každý hlavní prohlížeč již odmítá. Pro téměř všechny firmy je změna pro zákazníky neviditelná.

Můj web se načítá dobře se zámkem — proč to stále označuje?

Zámek znamená pouze, že zabezpečené připojení existuje; neříká vám, která verze TLS nebo která šifra je za ním. Váš web může zobrazovat perfektně normální zámek a přitom stále tiše přijímat starou prolomilou verzi nebo zakázanou šifru vedle dobrých — a to otevřené zadní dveře je to, co tyto kontroly zachytí. Jejich zavření nezodstrání zámek; jen zajistí, že jsou povoleny pouze bezpečné možnosti.

Jaký je rozdíl mezi verzí TLS a šifrou?

Přemýšlejte o verzi TLS jako o generaci zámku, který používáte, a o šifře jako o konkrétním receptu, který používá k zakódování dat. Můžete mít moderní zámek (TLS 1.2 nebo 1.3), ale stále nechat starý, prolomitelný recept (jako RC4 nebo 3DES) zapnutý — nebo naopak. Obojí musí být správné, proto je kontrolujeme odděleně. Dobrá zpráva je, že stejná jednořádková moderní konfigurace obvykle opraví obojí najednou.

Co OCSP stapling a komprese TLS — ovlivňují mé hodnocení?

Ne. Ty (spolu s bezpečným opakovaným vyjednáváním) jsou pouze informativní — hlásíme o nich, protože záleží na výkonu a hloubkové obraně, ale nepohybují vaším skóre. Na moderních webových serverech a jakémkoliv CDN jako Cloudflare jsou ve výchozím nastavení správně zpracovány, takže pro většinu majitelů není co dělat. Detail je v sekci níže pro vašeho IT pracovníka.

Je oprava skutečně zdarma?

Ano. Zakázání starých verzí TLS a slabých šifer a povolení těchto ochran jsou konfigurační změny na vašem stávajícím serveru nebo hostingu — není nic k nákupu. Účtujeme pouze monitoring, zda vaše šifrování zůstane správně nakonfigurované v čase, nikoli za opravu.