SSL is een veelgebruikt protocol voor het beveiligen van verbindingen tussen webservers en browsers of andere applicaties. Hierbij zorgt het SSL certificaat voor een beveiligde verbinding waarover gegevens versleuteld uitgewisseld worden. Hiermee ben je er echter nog niet: de instellingen op de webserver bepalen de parameters die gebruikt worden voor het opzetten van zo’n versleutelde verbinding, en hebben hiermee een grote invloed op de daadwerkelijke veiligheid.
Protocollen
De protocollen waar SSL Certificaten hun naam aan ontlenen, SSL versie 1, SSLv2 en SSLv3 zijn inmiddels onveilig. Deze protocollen hebben het nog lang uitgehouden, want SSLv2 komt nog uit de tijd dat Windows 3.11 gebruikt werd en bestond eerder dan Windows 95. De protocollen zijn nu echt end-of-life. Zet SSLv2 en SSLv3 daarom uit in je server configuratie zodat alleen de nieuwere TLS protocollen gebruikt kunnen worden en je aanvallen zoals Poodle voorkomt.
Schakel voor een veilige communicatie dus SSLv2 en SSLv3 uit, en gebruik TLS.
Algoritmes
Naast de protocollen kun je op de server ook bepalen welk algoritme je wilt gebruiken voor de communicatie met de browsers. Natuurlijk moet je wel rekening houden met wat de browsers van je bezoekers wel of niet ondersteunen. Met een goede instelling van de algoritmes kun je met moderne browsers zo veilig mogelijk praten en houd je je website toch bereikbaar voor oudere browsers.
Een van de dingen die een goed algoritme ondersteunt is Perfect Forward Secrecy. Hierbij wordt er voor gezorgd dat de tijdelijke sessie key die wordt aangemaakt voor de communicatie tussen de browser en de server later niet meer te decoderen is met de private key. Dit zorgt ervoor dat al het verkeer wat iemand nu zou afluisteren in de toekomst niet meer kan worden ontcijferd als iemand toegang krijgt tot de gebruikte private key. Kies dus een goed algoritme, met Perfect Forward Secrecy.
SSL voor de gehele website
SSL is alleen nodig op plekken waar vertrouwelijke informatie wordt uitgewisseld. Althans, dat wordt vaak gedacht, maar dat is helaas niet waar. Een hacker kan toch vertrouwelijke gegevens achterhalen op de niet beveiligde delen, bijvoorbeeld door het stelen van sessie cookies. Wil je zeker weten dat informatie uit handen van hackers blijft, beveilig dan de hele website met SSL. Dan krijg je ook geen veiligheidsmeldingen meer die bezoekers in verwarring kunnen brengen én Google beloont het gebruik van SSL op de hele website met een hogere ranking.
HTTP Strict Transport Security
Als je je website volledig op SSL hebt draaien kun je met HSTS aan de browser doorgeven dat die de onbeveiligde verbinding niet meer moet gebruiken. Wanneer een bezoeker naar de beveiligde website is geweest ontvangt de browser de HTTP Strict Transport Security header en onthoudt vervolgens dat de website alleen via SSL bezocht mag worden. Iedere volgende keer dat je naar de site gaat en een hacker probeert iemand naar een http:// pagina te leiden, weet de browser dat er iets niet klopt en geeft hij een foutmelding.
OCSP Stapling
Een SSL Certificaat kan altijd worden ingetrokken en een browser controleert altijd de geldigheid van een certificaat als een website wordt bezocht. Deze geldigheid van de certificaten wordt bijgehouden op speciale lijsten (de Certificate Revocation Lists). De CRL’s worden door de browsers automatisch periodiek opgehaald en gecontroleerd. Daarnaast controleren browsers de geldigheid van een certificaat direct online met OCSP (Online Certificate Status Protocol). Het opvragen van de status van een certificaat bij de certificaat leverancier kost echter tijd.
Je kunt je webserver deze statusinformatie ook zelf laten doorgeven. Je webserver maakt dan contact met de OCSP servers en krijgt een digitaal ondertekend antwoord van de OCSP servers dat wordt gecachet. Je webserver geeft dan bij het bezoeken van de website de OCSP informatie gelijk door aan de browser, waardoor deze zelf niet de informatie hoeft op te vragen. Dit maakt het laden van je website een stuk sneller. Zet OCSP stapling dus aan op je server.
SSL Labs
Een van de organisaties die helpt om het correct installeren van certificaten te bevorderen is Qualys. De meeste techneuten kennen de SSL scanner van Qualys op hun SSLLabs website ondertussen wel. Deze website geeft al een goede indicatie dat je de juiste chiphers gebruikt en met een goede score ben je op de goede weg, maar er zijn nog meer dingen om te verbeteren.
Op ssllabs.com kun je kijken of je alles goed hebt ingesteld. Zorg ervoor dat je hier minimaal een A score haalt! Maar je kunt nu niet lui achterover leunen, zelfs niet met een A+ score. Net zoals je geregeld je servers moet patchen moet je ook regelmatig je SSL certificaten controleren. Hackers zitten niet stil. Update dus regelmatig je software en volg nieuwe ontwikkelingen.
Voor meer informatie kijk op SSLcertificaten.nl