Este post será muito útil se tivermos algum serviço publicado com NetScaler, do próprio Gateway, para um Content Switch que temos, por exemplo, A questão será aumentar o nível de criptografia necessário, evitando possíveis cifras antigas vulneráveis.

Desde hace tiempo conocemos y os doy la tabarra con la maravillosa web de SSL Labs, un sitio web que verificará cualquier servicio que tengamos publicado con un certificado y pensamos por tanto que es seguro. SSL Labs nos sacará los colores y nos indicará posibles fallos de seguridad. La cuestión será hacerle caso y no usar cifrados que a día de hoy no son seguros.

Começou, Se formos “Traffic Management” > “SSL” > “Cipher Groups” y creamos desde “Adicionar” un grupo de cifrado nuevo, donde añadiremos los últimos cifrados y claro quitaremos el acceso a máquinas viejas que no los soporten, como puedan ser Windows 7. Le damos un nombre y añadimos los siguientes cifrados:

• TLS1.2-ECDHE-RSA-AES128-GCM-SHA256
• TLS1.2-ECDHE-RSA-AES256-GCM-SHA384
• TLS1.2-ECDHE-ECDSA-AES128-GCM-SHA256
• TLS1.2-ECDHE-ECDSA-AES256-GCM-SHA384

Agora, crearemos un Perfil SSL, desde “Sistema” > “Profiles” > “SSL Profile”. Y configuramos:

• Nós damos-lhe um nome.
• En ‘Deny SSL Renegotiation’ marcamos ‘NONSECURE’.
• Marcamos ‘HSTS e indicamos ‘Max Age’ a ‘15552000’
• En ‘Protocol’ desmarcaremos ‘SSLv3’, ‘TLSv1’, y ‘TLSv11’. Al menos dejaremos ‘TLSv12’.

Y luego sería cuestión de asociar el Grupo de cifrado y el Perfil de SSL en los virtual server que dispongamos, sea un GSLB, Content Switching, un Gateway…

El ideal será hacer una prueba antes y después de modificar en el NetScaler, recordar posteriormente si todo fue bien, grabar la configuración. Então, podremos borrar el caché en SSL Labs y probar de nuevo, si todo ha ido bien tendremos la máxima nota de seguridad, ahora nuestro canal seguro sí lo será utilizando unos niveles de cifrado más altos.