Nastavení webserveru a SSL

Univerzita umožňuje zdarma získat certifikát od certifikační autority TERENA. Můžete si o něj požádat sami, nebo pokud byste chtěli poradit s jeho získáním, obraťte se na unix(atsign)fi(dot)muni(dot)cz. Alternativně můžete využít i certifikační autoritu Let's Encrypt, a to buď vlastními silami nebo můžete využít vystavování LE certifikátů přes unix@fi.

Kromě samotného zavedení HTTPS je důležité ověřit, zda je konfigurace rozumně bezpečná. Pro otestování konfigurace je možné použít tyto nástroje:

  • Qualys (pouze https)
  • STARTTLS test (testuje jen stroj v MX záznamu zadaného stroje, tzn. pro aisa.fi.muni.cz bude testovat relay.muni.cz
  • testssl.sh (bash skript nad OpenSSL)

Parametry SSL

Nejlepší způsob je použití generátoru konfigurace, který najdete na https://wiki.mozilla.org/Security/Server_Side_TLS. Tento nástroj vygeneruje konfiguraci dle aktuálních kryptografických/bezpečnostních doporučení.

Aplikovanou konfiguraci je doporučujeme ještě otestovat například přes Qualys (viz výše). Měli byste cílit na Qualys Score A- nebo A. U skóre počínaje A je však třeba zvážit riziko, že někteří starší klienti nemusí podporovat dostatečně nové a bezpečné šifry.

HTTP Strict Transport Security – HSTS

Především pokud vytváříte nový web, doporučujeme rovnou nastavit přesměrování HTTP na HTTPS a použít HTTP hlavičku HSTS, která zabezpečí, že prohlížeč bude po určitou dobu přistupovat k tomuto webu vždy jenom přes HTTPS.

V případě použití webserveru Apache by byla konfigurace následující:

<VirtualHost fqdn.fi.muni.cz:80>
    ...
    Redirect permanent / https://fqdn.fi.muni.cz/
</VirtualHost>

<VirtualHost fqdn.fi.muni.cz:443>
    ...
    # postupne zvysit az na max-age=15552000
    Header always set Strict-Transport-Security "max-age=3600;"
</VirtualHost>

Dobu, po kterou si prohlížeč pamatuje nutnost použití HTTPS, určuje parametr max-age. U existujících webů je kvůli případným problémům dobré začít s nízkou hodnotu a postupně ji zvyšovat, například hodina (3600), den (86400), týden (604800), měsíc (2592000) a skončit na půlroku (15552000).

Odpovědný kontakt: unix(atsign)fi(dot)muni(dot)cz