FreeHost.com.UA
Августа 24, 2017, 07:44:07 am *
Добро пожаловать, Гость. Пожалуйста, войдите или зарегистрируйтесь.

Войти
Новости: Распродажа серверов http://freehost.com.ua/forum/index.php?topic=2093.0
 
   Начало   Помощь Поиск Войти Регистрация  
Страниц: [1]
  Печать  
Автор Тема: Protocol Support для SSL в UNIX хостинге  (Прочитано 1619 раз)
Buch
Newbie
*

Karma: 0
Сообщений: 15


Просмотр профиля
« : Июля 14, 2015, 03:00:14 pm »

Привет всем!
Прошерстил весь форум и не нашёл ответа на свой вопрос. Собственно он заключается в следующем:
- есть ресурс https://www.ssllabs.com/ssltest/index.html для проверки надёжности настроек SSL на сервере
- после проверки своего сертификата подключённого на хостинг, обнаружил на сервере S36 проблемы в поддержке протоколов (Cipher Suites).
- включена поддержка SSL3 (POODLE - https://community.qualys.com/blogs/securitylabs/2014/10/15/ssl-3-is-dead-killed-by-the-poodle-attack)
- отключён TLS 1.2
- не настроен OCSP stapling

Собственно не настроен nginx и стоит старая версия OpenSSL 0.9.8y хотя уже актуальна версия OpenSSL 1.0.2d
Когда исправят?
Записан
Thelli
Newbie
*

Karma: 0
Сообщений: 1


Просмотр профиля
« Ответ #1 : Августа 04, 2015, 02:39:53 pm »

Добрый день!
Благодарим за замечания.

Цитировать
Прошерстил весь форум и не нашёл ответа на свой вопрос. Собственно он заключается в следующем:
- есть ресурс https://www.ssllabs.com/ssltest/index.html для проверки надёжности настроек SSL на сервере
- после проверки своего сертификата подключённого на хостинг, обнаружил на сервере S36 проблемы в поддержке протоколов (Cipher Suites).
Cipher Suites - это перечень поддерживаемых шифров, директива включена, просто для каждой версии Nginx этот перечень может быть разным. Если при проверке нам показывает, что некоторые поддерживаемые шифры являются слабыми, то в данном случае они будут подсвечены желтым, как потенциальная опасность. На стороне сервера шифры поддерживаются, а использовать их при генерации сертификатов или нет - решать клиентам. У нас есть возможность подключать собственные ssl-сертификаты и каждый сам решает, какой уровень шифрования у него должен быть.

Цитировать
Да, было такое, исправили.

Цитировать
- отключён TLS 1.2
Он не поддерживается в текущей версии Nginx, как и протокол TLS 1.1

Цитировать
- не настроен OCSP stapling
OCSP stapling в данной версии Nginx не поддерживается, а если бы поддерживался, то был бы выключен, как задано в настройках по умолчанию.
Stapling усиливает проверку и подтверждение валидности. Для работы OCSP stapling’а должен быть известен сертификат издателя сертификата сервера. Если сертификат куплен в одном из центров сертификации (CA), то он пройдет все проверки при чтении заголовков браузером. Если же сертификат self-signed и подписан своей организацией, как в большинстве случаев, то браузер оповестит о том, что Issuer является не доверенным. Это касается как подписи, так и валидности для доменов. Для борьбы с дефолтными ssl и ошибок валидности мы сделали редирект на наш вилдкардный сертификат. Если клиент не подключил ssl, но указывает https, то его перебросит на белую страницу с сертификатом для Freehost. По крайней мере, так должно быть, мы просим оповещать о том, если такого не происходит.

Цитировать
Собственно не настроен nginx и стоит старая версия OpenSSL 0.9.8y хотя уже актуальна версия OpenSSL 1.0.2d
Когда исправят?
Проблема обновлений всегда актуальна и поставлена остро, особенно для больших хостингов, где могут быть сотни аккаунтов. Обновить openssl будет трудно, на s36 обновление пока не планируется. В отличии от Linux, где обновить openssl можно командой sudo apt-get update openssl или sudo yum update openssl, во FreeBSD он устанавливался вместе с ядром и для его обновления надо обновлять всю ОС, что может повлечь за собой не малые проблемы в работе сайтов. Что касается обновления ОС, то на данный момент на s36 установлена FreeBSD 9.2 - она является последней стабильной для своей ветки. Есть 9.3, но она уже отличается, там ФС ZFS включена для выбора по умолчанию, т.е. 9.3 уже очень близко к FreeBSD 10.1 и мы не можем рисковать обновлением ОС до версии, которая в корне отличается от предыдущей. Кроме того, openssl стал так часто обновляться, что для FreeBSD обновления появляются совчем не сразу или версия через три. Кто хочет более нового ПО и более новых возможностей, мы разрешаем миграцию аккаунта на более новые серверы, в скором времени сделаем миграцию доступной для всех серверов, а то в данный момент для некоторых наблюдаются проблемы. В любом случае, дополнительные вопросы можно решить через support.
Записан
Страниц: [1]
  Печать  
 
Перейти в:  

Powered by MySQL Powered by PHP Powered by SMF 1.1.16 | SMF © 2006-2011, Simple Machines Valid XHTML 1.0! Valid CSS!