Безопасность: Тюнинг HTTPS

Уверен, что сейчас никого не удивишь словами о том, что HTTP не безопасен и необходимо настраивать шифрование трафика при помощи HTTPS. Но не все знают, что многие разновидности HTTPS уже не являются безопасными. Поэтому для обеспечения реальной, а не номинальной, защиты передаваемых данных воспользуйтесь нашими рекомендациями, приведёнными далее в этой статье. 

Для анализа безопасности веб-сайта можно воспользоваться сервисом https://www.ssllabs.com/ssltest/analyze.html. Данный сервис оценит уровень безопасности сайта, предоставит подробный отчет, а также предложит рекомендации по устранению потенциальных уязвимостей.

По умолчанию для доступа по HTTPS IIS поддерживает все протоколы, включая устаревшие, которые потенциально могут представлять угрозу:

• SSL является устаревшим протоколом и содержит ряд известных уязвимостей (см. https://www.us-cert.gov/ncas/alerts/TA14-290A), на смену ему разработан прокол TLS;
• некоторые версии TLS также содержат уязвимости (подробнее см. https://en.wikipedia.org/wiki/Transport_Layer_Security#Attacks_against_TLS.2FSSL).

Произвести настройку IIS можно при помощи:

• скриптов powershell. Об этом подробнее написано в статье «Setup your IIS for SSL Perfect Forward Secrecy and TLS 1.2»;
• визуальной утилиты IIS Crypto от Nartac Software:

В утилите предусмотрена кнопка Best Practices, которая позволит настроить текущий экземпляр IIS согласно последним тенденциям безопасности.

С лучшими практиками можно также ознакомиться по ссылке https://www.ssllabs.com/downloads/SSL_TLS_Deployment_Best_Practices.pdf.

Отключая протоколы, важно понимать, что это может повлечь за собой несовместимость некоторых клиентов. К примеру старые версии браузеров могут не поддерживать TLS. Подробности по ссылке: http://en.wikipedia.org/wiki/Transport_Layer_Security#Web_browsers.

В системе Android поддержка TLSv1.1 и TLSv1.2 появилась с версии 4.1, и только с версии 5.0 на уровне системы была включена по умолчанию (подробности по ссылке https://developer.android.com/reference/javax/net/ssl/SSLSocket.html).

В приложениях DIRECTUM устанавливается максимальная поддерживаемая TLS для текущей версии Android, а это значит, что начиная с Android 4.1 есть возможность обеспечить максимальную защиту канала HTTPS.

После настройки IIS согласно рекомендуемым параметрам можно вновь провести проверку уровня безопасности сайта и убедиться в их эффективности:

Можно достигнуть более впечатляющих результатов, отказавшись от поддержки некоторых видов браузеров (если это возможно в вашей организации):

Настройка TLS с применением ГОСТ-алгоритмов шифрования

Для возможности использования в IIS шифрования с применением ГОСТ-алгоритмов необходимо прибегнуть к помощи сторонних (по отношению к Windows) криптопровайдеров. Например, КриптоПРО или Vip NET. Подробнее про настройку ГОСТ-алгоритмов шифрования будет рассказано в следующей статье.

Вместо заключения

В этой небольшой статье были рассмотрены практические шаги, с помощью которых можно повысить безопасность передачи данных мобильных и веб-приложений. Для того чтобы ознакомиться с другими средствами обеспечения безопасности следите за тегом безопасность.