Egin ezazu zure web zerbitzaria seguruagoa komunikazio zifratuak erabiliz

Web orri batetara sartzen garenean gero eta gehiago gara helbide barran erabilitako protokoloan fijatzen garenak, gure datu pertsonalak konpartitu behar baditugu edo ez. HTTPS protokoloaz gain ere, barra berdea azaltzen bada oraindik ere seguruago sentitzen gara.

HTTPS protokoloa erabiltzearen zatirik garrantzitsuena, gure eskakizun eta datu guztiak modu zifratuan garraiatuko direla da eta batenbat MITM eraso bat egin nahian badabil eta paketeak eskuratzea lortzen badu, gure datu horiek ezin izango dituela deszifratu.

Zure enpresako edo proiektu pertsonaleko blog baten irudia asko aldatu daiteke web orria HTTPS erabiliaz zerbitzatzean. Esan den bezala, erabiltzailea seguruago sentituko da gure orrian nabigatzean eta honek seriotasuna hala konfidantza transmititu dakioke.

Urteetan HTTP protokoloari gehitzen zaion ziurtagiri digital baten jabetza diru kantitate handiarekin erlazionatu izan da, garestia izan baita enpresa edo proiektu txiki batentzat horrelako gastu bati aurre egitea. Horregatik web orri asko segurtasun gehigarririk gabe publikatu izan dira.

Egoera hau asko aldatu da doako SSL ziurtagirien sorrerarekin. Azken aldian irekia den Erakunde ziurtatzaile (CA, Certificate Authority) bat famatu da, non modu automatikoan eta doan ziurtagiriak ematen dituen. Honen izena Let’s Encrypt da eta hainbat erakunderen babesean lan egiten du. Hau ikusita aukera ona da gure zerbitzariari ziurtagiri bat gehitzeko.

Esan saretzen.eus web orria Let’s Encrypt erakunde ziurtatzaileak modu automatikoan eskeinitako SSL ziurtagiriarekin funtzionatzen duela eta ziurtagiriaren baliozko data automatikoki berritzen dela ziurtagiri berri batekin.

Hurrengo puntuetan erakunde honek eskeinitako ziurtagiriak instalatu eta gure zerbitzarian HTTPS protokoloa modu egokian konfiguratzeko gida bat azalduko dugu. Adibideak Nginx web zerbitzari batentzat egokituak izan dira; Apache web zerbitzari baten konfigurazioa oso antzekoa izan daiteke.

Ziurtagiriaren instalazioa

Let’s Encrypt-aren erabilera automatikoa dela esaten dugunean, instalazioa eta konfigurazioaz gehiegi arduratu behar ez dugula esan nahi dugu. Hau dena egiteko, script bat erabiliko dugu; CertBot

Lehenik eta behin aplikazio hau gure web zerbitzarian instalatu behar dugu. Ubuntu batean oso erraz egin dezakegu:

Behin instalatuta dugula, ziurtagiri bat eskatuko dugu gure domeinuarentzat.

-d flag-arekin nahi ditugun azpidomeinu guztiak sartuko ditugu. Honek automatikoki gure nginx konfigurazioa aldatuko du HTTPS gaituaz. Amaitu aurretik, HTTPS gabeko eskaera guztiak HTTPS erabiliaz zerbitzatu nahi dituzun galdetuko digu. Erabilera hau onartzea gomendatzen dugu.

Behin hau egindakoan Nginx-aren konfigurazio berria kargatzea falta da.

Esan dugu ziurtagiria automatikoki berritzen dela, horretarako cron lerro berri bat gehituko dugu, egunero exekutatu dezan:

Gure web orrira sartzen bagara, trafikoa automatikoki HTTPS erabiliaz zerbitzatu dela ikusi dezakegu helbide barran protokoloari begirada botaz. Kontuan izan ongi funtzionatu dezan, web zerbitzariko 443 portua irekita izan behar duela firewallean.

Qualys SSL tresna erabili dezakegu gure web zerbitzariaren HTTPS-ri buruzko segurtasuna hobesteko. Puntuaziorik onena A+ da.

Behin SSL ziurtagiria instalatuta, konfigurazio egoki bat egitea gelditzen zaigu.

Ez onartu TLS 1.0 baina gutxiago

Jakinak dira SSL protokoloaren gabeziak eta arazoak. Horregatik gutxienez TLS 1.0 erabiltzea gomendatzen da. Hau gure Nginx zerbitzarian oso erraz konfiguratu dezakegu:

Honekin TLS 1.0, 1.1 eta 1.2 erabiltzera zuzentzen dugu zerbitzaria. Garrantzitsua da gogoan izatea Internet Explorerreko bertsio zaharrek ez dutela hau onartzen eta SSL3 ezgaitu egiten badugu ez dutela gure web orriarekin funtzionatuko.

Erabili zifratzaile onartuak bakarrik

Zifraketa algoritmoak egunetik egunera hobetzen doaz baita berriak azaltzen ere. Hurrengo konfigurazioarekin, gomendatuak bakarrik erabiliko dira:

Diffie-Helman gako trukaketa

Diffie-Helman, komunikazio ireki eta publiko batean gako trukaketa seguru bat egiteko metodoa da. Hau gaitzeak gure zerbitzariari segurtasuna gehituko diogu. Lehenik eta behin DHE parametroa sortuko dugu:

Sortutako fitxategiari erreferentzia eginez gaitu dezakegu gure Nginx konfigurazioan:

 

Hemen azaldutakoak ezaugarri batzuk bakarrik dira. Gure web zerbitzaria seguruago egiteko beste hainbat aldetatik hobetu beharko dugu: firewallak, HTTP goiburukoak, sistema-eragilearen partxeak…

Ez ahaztu egindako aldaketen ostean Qualys SSL tresnarekin analizatzen. Lortutako puntuazioak gure zerbitzariaren segurtasun maila adierazi baidezake.

Besterik gabe,

Ondo izan

Web orri honek cookiek erabiltzen ditu erabiltzailearen nabigazioa errazteko