Jeg bemærker at man ikke behøver at bruge den nævnte SSL sikkerhedstjek-service for at opdage svaghederne.
Tag et kig på: https://www.ssllabs.com/ssltest/analyze.html?d=ubuntudanmark.dk (Javascript skal være aktiveret)
Resultater for svagheder:
- SHA1withRSA er signatur algoritmen og den er svag. det kan fixes om lidt over ca 3 måneder, hvor certificatet udløber, og skal erstattet med et nyt. Brug SHA2 i stedet for SHA1.
- RC4 accepteres. Det bør ikke accepteres under nogen omstændigheder, da den meget nemt kan angribes, og det er endda uden at lave et MiTM (Man in The Middle) angreb:Bar Mitzvah attack actually exploits the "Invariance Weakness," the weak key pattern used in RC4 keys that can leak plain text data from the encrypted SSL/TLS traffic into the cipher text under certain conditions, potentially exposing account credentials, credit card data, or other sensitive information to hackers.
Citatet er fra denne artikel: 13-year-old SSL/TLS Weakness Exposing Sensitive Data in Plain Text http://thehackernews.com/2015/03/rc4-ssl-tls-security.html - Strict Transport Security (HSTS) kan være rart at have support for.
Det man skal er at man altid sender en HSTS HTTP response header.
Det fortæller en browser at den altid skal bruge https i stedet for http. Browseren vil derefter altid bruge https i stedet for http indtil udløbstidpunktet, hvilket er årsagen til at man altid sender den til browseren.
HSTS response headers er nyttigt til at holde brugernavn/kodeord hemmeligt, samt at sikre session cookien imod replay angreb over http.- Links:
- https://developer.mozilla.org/en-US/docs/Web/Security/HTTP_strict_transport_security
- https://blog.cloudflare.com/enforce-web-policy-with-hypertext-strict-transport-security-hsts/
- https://raymii.org/s/tutorials/HTTP_Strict_Transport_Security_for_Apache_NGINX_and_Lighttpd.html
- RFC6797: http://tools.ietf.org/html/rfc6797
/Lars
