Ganhar um A+ em SSLABS em sites publicados com o NetScaler

Este post será muito útil se tivermos algum serviço publicado com NetScaler, do próprio Gateway, para um Content Switch que temos, por exemplo, A questão será aumentar o nível de criptografia necessário, evitando possíveis cifras antigas vulneráveis.

Desde hace tiempo conocemos y os doy la tabarra con la maravillosa web de SSL Labs, un sitio web que verificará qualquer serviço que tengamos publicado com um certificado y pensamos por tanto que es seguro. SSL Labs nos sacará los colores y nos indicará posibles fallos de seguridad. La cuestión será hacerle caso y no usar cifrados que a day de hoy no son seguros.

Começou, Se formos “Traffic Management” > “SSL” > “Cipher Groups” y creamos desde “Adicionar” un grupo de cifrado nuevo, donde añadiremos los últimos cifrados y claro que quitaremos o acesso a máquinas antigas que no los soporten, como puedan ser Windows 7. Le damos un nombre y añadimos los siguientes cifrados:

  • TLS1.2-ECDHE-RSA-AES128-GCM-SHA256
  • TLS1.2-ECDHE-RSA-AES256-GCM-SHA384
  • TLS1.2-ECDHE-ECDSA-AES128-GCM-SHA256
  • TLS1.2-ECDHE-ECDSA-AES256-GCM-SHA384

Agora, crearemos un Perfil SSL, desde “Sistema” > “Profiles” > “Perfil SSL”. Y configuramos:

  • Nós damos-lhe um nome.
  • En 'Deny SSL Renegotiation’ marcamos 'NONSECURE'.
  • Marcamos 'HSTS e indicamos 'Max Age’ a '15552000’
  • En 'Protocol’ desmarcaremos 'SSLv3', 'TLSv1', y 'TLSv11'. Al menos dejaremos 'TLSv12'.

E depois seria uma questão de associar o Grupo de cifrado e o Perfil de SSL no servidor virtual que dispongamos, sea un GSLB, Content Switching, un Gateway…

O ideal será fazer una prueba antes y depois de modificar en el NetScaler, recordar posteriormente si todo fue bien, grabar la configuración. Então, podremos borrar el caché en SSL Labs y probar de nuevo, si tudo ha ido bem tendremos la máxima nota de seguridad, ahora nuestro canal seguro sí lo será utilizando unos niveles de cifrado más altos.

Postagens recomendadas

Autor

nheobug@bujarra.com
Autor del blog Bujarra.com Cualquier necesidad que tengas, Não hesite em contactar-me, Vou tentar ajudá-lo sempre que puder, Compartilhar é viver ;) . Desfrute de documentos!!!