Рекомендация: Конфигурация Wowza SSL
Снимок экрана: Сервер с Wowza, работающий с использованием SSL-сертификата с базовой конфигурацией
Я получил этот результат от SSLLabs с конфигурацией по умолчанию (см. Снимок экрана). Единственное место, где я могу изменить конфигурацию, это, вероятно, VHost.xml, где я могу настроить следующие элементы:
<SSLConfig>
<KeyStorePath></KeyStorePath>
<KeyStorePassword>[REMOVED]</KeyStorePassword>
<KeyStoreType>JKS</KeyStoreType>
<DomainToKeyStoreMapPath>${com.wowza.wms.context.VHostConfigHome}/conf/jksmap.txt</DomainToKeyStoreMapPath>
<SSLProtocol>TLS</SSLProtocol>
<Algorithm>SunX509</Algorithm>
<CipherSuites></CipherSuites>
<Protocols></Protocols>
</SSLConfig>
Я читал это https://www.wowza.com/docs/how-to-improve-ssl -конфигурация , но я не особо помогаю.
Вопрос: Что я могу добавить к пунктам «Наборы шифров» и «Протоколы» для получения более актуальной SSL-конфигурации? Или где я могу прочитать об этом?
В приведенной вами ссылке на документацию не упоминается используемое серверное программное обеспечение. Но из зарегистрированных сообщений я прихожу к выводу, что он понимает общие термины OpenSSL.
Я получаю оценки от A до A +, используя следующие настройки в nginx:
ssl_ciphers "EECDH+ECDSA+AESGCM EECDH+aRSA+AESGCM EECDH+ECDSA+SHA384 EECDH+ECDSA+SHA256 EECDH+aRSA+SHA384 EECDH+aRSA+SHA256 EECDH+aRSA+RC4 EECDH !DHE !aNULL !eNULL !LOW !3DES !MD5 !EXP !PSK !SRP !DSS !RC4";
ssl_protocols "TLSv1 TLSv1.1 TLSv1.2";
(Возможно, вы должны предоставить списки, разделенные запятыми. Зависит от программного обеспечения сервера.)
Этого должно быть достаточно, чтобы получить рейтинг B.
Я также использую следующее утверждение:
ssl_prefer_server_ciphers on;
Это предотвращает понижение уровня безопасности со стороны клиента. Надеюсь, ваш провайдер делает это по умолчанию, потому что я не вижу опции, которую вы могли бы установить в опубликованной вами конфигурации.
Если вы можете дополнительно реализовать HSTS , вы можете повысить рейтинг до A +. Реализация HSTS означает доставку такого заголовка HTTP:
Strict-Transport-Security: max-age=31536000; includeSubDomains
Это заставляет современные браузеры отказываться устанавливать незащищенные подключения к серверу, который отправил этот заголовок в течение последних 31 536 000 секунд.