Лучшая практика: конфигурация Wowza SSL

Question

Лучшая практика: конфигурация Wowza SSL

Снимок экрана: Сервер с Wowza работает с использованием SSL-сертификата с базовой конфигурацией

Я получаю этот результат от SSLLabs с конфигурацией по умолчанию (см. Скриншот). Единственное место, где я могу изменить конфигурацию, это, вероятно, VHost.xml, где я могу настроить следующие элементы:

<SSLConfig>
    <KeyStorePath></KeyStorePath>
    <KeyStorePassword>[REMOVED]</KeyStorePassword>
    <KeyStoreType>JKS</KeyStoreType>
    <DomainToKeyStoreMapPath>${com.wowza.wms.context.VHostConfigHome}/conf/jksmap.txt</DomainToKeyStoreMapPath>
    <SSLProtocol>TLS</SSLProtocol>
    <Algorithm>SunX509</Algorithm>
    <CipherSuites></CipherSuites>
    <Protocols></Protocols>
</SSLConfig>

Я читаю это https://www.wowza.com/docs/how-to-improve-ssl-configuration, но мне не очень помогает.

Вопрос: Что можно добавить к пунктам "Наборы шифров" и "Протоколы", чтобы получить более актуальную SSL-конфигурацию? Или где я могу прочитать об этом?

1

ssl java best-practices cipher

Источник

Thomas Ebert 14 дек '17 в 16:38

1 ответ

Другие вопросы по тегам ssl java best-practices cipher

blafasel 14 дек '17 в 20:53 2017-12-14 20:53 · Answer 1 · 2017-12-14 20:53

Ссылка на документацию, которую вы дали, не упоминает используемое программное обеспечение сервера. Но из зарегистрированных сообщений я заключаю, что он понимает общие термины OpenSSL.

Я получаю оценки от A до A+, используя следующие настройки в nginx:

ssl_ciphers "EECDH+ECDSA+AESGCM EECDH+aRSA+AESGCM EECDH+ECDSA+SHA384 EECDH+ECDSA+SHA256 EECDH+aRSA+SHA384 EECDH+aRSA+SHA256 EECDH+aRSA+RC4 EECDH !DHE !aNULL !eNULL !LOW !3DES !MD5 !EXP !PSK !SRP !DSS !RC4";
ssl_protocols "TLSv1 TLSv1.1 TLSv1.2";

(Может быть, вы должны предоставить разделенные запятыми списки. Зависит от серверного программного обеспечения.)

Этого должно быть достаточно, чтобы получить рейтинг B.

Я также использую следующее утверждение:

ssl_prefer_server_ciphers on;

Это предотвращает понижение уровня безопасности со стороны клиента. Надеюсь, ваш провайдер сделает это по умолчанию, потому что я не вижу опции, которую вы могли бы установить в конфигурации, которую вы опубликовали.

Если вы можете дополнительно внедрить HSTS, вы можете повысить рейтинг до A+. Реализация HSTS означает доставку HTTP-заголовка следующим образом:

Strict-Transport-Security: max-age=31536000; includeSubDomains

Это заставляет современные браузеры отказываться устанавливать незащищенные соединения с сервером, который отправил этот заголовок в течение последних 31 536 000 секунд.