Erreichen eines A+ in SSLABS auf veröffentlichten Websites mit NetScaler
Dieser Beitrag wird sehr nützlich sein, wenn wir einen Dienst mit NetScaler veröffentlicht haben, vom Gateway selbst, zu einem Content Switch, den wir haben, zum Beispiel, Es wird darum gehen, das erforderliche Verschlüsselungsniveau zu erhöhen und gleichzeitig mögliche anfällige alte Chiffren zu vermeiden.
Schon lange wissen wir es und ich schenke Ihnen den Spaß mit der wunderbaren Website von SSL-Labore, Eine Website, die jeden von uns veröffentlichten Dienst mit einem Zertifikat verifiziert und daher für sicher hält. SSL Labs zeigt uns die Farben und weist auf mögliche Sicherheitslücken hin. Die Frage wird sein, darauf zu hören und keine Chiffren zu verwenden, die heute nicht sicher sind.
Gestartet, Wenn wir “Verkehrsmanagement” > “SSL-Verbindung” > “Cipher-Gruppen” und wir kreieren aus “Hinzufügen” Eine neue Chiffriergruppe, wo wir die neuesten Verschlüsselungen hinzufügen und natürlich den Zugriff auf alte Maschinen entfernen werden, die sie nicht unterstützen, wie z.B. Windows 7. Wir geben ihm einen Namen und fügen die folgenden Chiffren hinzu:
- TLS1.2-ECDHE-RSA-AES128-GCM-SHA256
- TLS1.2-ECDHE-RSA-AES256-GCM-SHA384
- TLS1.2-ECDHE-ECDSA-AES128-GCM-SHA256
- TLS1.2-ECDHE-ECDSA-AES256-GCM-SHA384
Jetzt, Wir erstellen ein SSL-Profil, seit “System” > “Profile” > “SSL-Profil”. Und wir richteten uns ein:
- Wir geben Ihnen einen Namen.
- In 'SSL-Neuverhandlung verweigern’ Wir kreuzen "NICHT SICHER" an..
- Wir überprüfen "HSTS" und geben "Max Age" an’ bis '15552000’
- Im "Protokoll’ Deaktivieren Sie 'SSLv3', 'TLSv1', und 'TLSv11'. Zumindest lassen wir 'TLSv12'.
Und dann geht es darum, die Verschlüsselungsgruppe und das SSL-Profil in den virtuellen Servern zu verknüpfen, die wir haben, Werden Sie ein GSLB, Umschalten von Inhalten, ein Tor…
Im Idealfall sollten Sie vor und nach der Änderung im NetScaler einen Test durchführen, Erinnern Sie sich später, ob alles gut gelaufen ist, Speichern Sie die Einstellungen. Also, Wir können den Cache in SSL Labs leeren und es erneut versuchen, Wenn alles gut gelaufen ist, haben wir den höchsten Sicherheitshinweis, Jetzt wird unser sicherer Kanal höhere Verschlüsselungsstufen verwenden.