Pokud chceme, aby nějaká komunikace byla zabezpečená při svém přenosu (nikdo cizí nemohl poslouchat, co posíláme), tak se často využívá protokol SSL (Secure Sockets Layer) nebo TLS (Transport Layer Security). Například tak ochráníme HTTP provoz využitím HTTPS (HTTP Secure). SSL/TLS využívá šifrování, a protože je dnes řada šifer považována za slabé (dají se prolomit), tak prosté zapnutí šifrování nemusí dostatečně zabezpečit provoz. V článku se podíváme na trochu teorie, dělení šifer na silné a slabé, zmíníme rozšířené zranitelnosti a uvedeme různé možnosti testování použitých šifer a bezpečnosti SSL protokolu vůbec.

V minulém článku jsme se podívali jak detekovat, že náš webový/aplikační server není nastaven správně (je zranitelný) z pohledu SSL/TLS. Dnes se podíváme na konfiguraci rozšířených serverů, aby byl SSL/TLS protokol relativně zabezpečen. Věnovat se budeme serverům Apache HTTP Server, Apache Tomcat, Microsoft Windows a IIS (Internet Information Services) a nativní Javě (JSSE). Popíšeme jak vypnout slabé šifry (disable weak ciphers) a ochránit se proti některým zranitelnostem (vulnerability).

Již je tu rok, kdy (řekněme) oficiálně končí podpora hashovacího algoritmu SHA-1 v certifikátech. Doporučení je, co nejdříve přejít na SHA-2. Pokud interně využíváme Microsoft Certification Authority, tak je také dobré provést tuto změnu. Naštěstí to (ve většině případů) není nic složitého a jde pouze o pár změn na stávající certifikační infrastruktuře. O této oblasti se na internetu hodně píše, ale nenalezl jsem nějaký souhrnný článek, takže jej přináším zde.

Shrnutí základních informací z oblasti šifrování. Termíny, typy kryptografických algoritmů (šifer), jaké algoritmy používat, jak bezpečná šifrovaná data jsou.