Používání zastaralých šifer
Konfigurace vašeho serveru používá slabé nebo dokonce riskantní šifry. Hodnocení jednotlivých šifer můžete najít na ciphersuite.info. Doporučujeme používat pouze ty šifry, které jsou hodnoceny jako recommended, případně secure. Šifry označeny jako weak by neměly být použity pro nové instalace a na stávajících mohou být použity pouze v konktrétních krajních případech pro zachování kompatibility. Insecure šifry nesmí být používány vůbec. Nastavení šifrování podléhá vyhlášce NÚKIB.
Varování: Tyto konfigurace snižuje kompatibilitu se staršími verzemi klientů a operačních systémů. Konfiguraci uzpůsobte vašim potřebám.
Příklady nastavení šifer
Apache
Nastavte podporu pouze TLS 1.3:
- website.conf
SSLProtocol -all +TLSv1.3
Pokud potřebujete povolit i TLS 1.2:
- website.conf
SSLProtocol -all +TLSv1.2 +TLSv1.3 SSLCipherSuite ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305
Nginx
Nastavte podporu pouze TLS 1.3:
- ssl.conf
ssl_protocols TLSv1.3;
Pokud potřebujete povolit i TLS 1.2:
- ssl.conf
ssl_protocols TLSv1.2 TLSv1.3; ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305;
Postfix
- master.cf
smtp inet n - - - - smtpd -o smtpd_sasl_auth_enable=no slow unix - - - - 1 smtp -o syslog_name=postfix-slow submission inet n - - - - smtpd -o syslog_name=postfix/submission -o smtpd_tls_security_level=encrypt -o smtpd_enforce_tls=yes -o smtpd_sasl_auth_enable=yes smtps inet n - - - - smtpd -o syslog_name=postfix/smtps -o smtpd_tls_wrappermode=yes -o smtpd_sasl_auth_enable=yes -o smtpd_enforce_tls=yes
- main.cf
smtpd_tls_mandatory_protocols = !SSLv2, !SSLv3, !TLSv1, !TLSv1.1 smtpd_tls_protocols = !SSLv2, !SSLv3, !TLSv1, !TLSv1.1 smtpd_tls_mandatory_ciphers = high smtpd_tls_ciphers = high smtpd_tls_exclude_ciphers = $smtp_tls_exclude_ciphers tls_preempt_cipherlist = yes smtpd_tls_eecdh_grade = ultra smtpd_tls_security_level = may smtp_tls_mandatory_protocols = !SSLv2, !SSLv3, !TLSv1, !TLSv1.1 smtp_tls_protocols = !SSLv2, !SSLv3, !TLSv1, !TLSv1.1 smtp_tls_mandatory_ciphers = high smtp_tls_ciphers = high smtp_tls_exclude_ciphers = RC4, aNULL, EXP, MEDIUM, LOW, DES, 3DES, SSLv2, AES256-GCM-SHA384, AES128-GCM-SHA256, AES256-SHA256, AES256-SHA256, CAMELLIA256-SHA256, AES256-SHA, CAMELLIA256-SHA, AES128-SHA256, CAMELLIA128-SHA256, AES128-SHA, CAMELLIA128-SHA smtp_dns_support_level = dnssec smtp_tls_security_level = dane
Velmi vysoké zabezpečení od RedHat.
Dovecot
Nastavte podporu pouze pro TLS 1.3:
- 10-ssl.conf
ssl_min_protocol = TLSv1.3
Pokud potřebujete povolit i TLS 1.2:
- 10-ssl.conf
ssl_min_protocol = TLSv1.2 ssl_max_protocol = TLSv1.3 ssl_cipher_list = ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305
vsftpd
- vsftpd.conf
ssl_ciphers=HIGH:!aNULL:!MD5:!3DES:!RC4:!LOW:!EXP:!PSK
PostgreSQL
Nastavte podporu pouze pro TLS 1.3:
- postgresql.conf
ssl_min_protocol_version = 'TLSv1.3'
Pokud potřebujete povolit i TLS 1.2:
- postgresql.conf
ssl_min_protocol_version = 'TLSv1.2' ssl_ciphers = 'ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305'
Otestování
Výpis všech podporovaných šifer pro SSL/TLS:
testssl.sh -e [URL]:[port]
Pro test STARTTLS je nutné specifikovat službu, která na portu běží:
testssl.sh -e -t [ftp/smtp/lmtp/pop3/imap/sieve/xmpp/xmpp-server/telnet/ldap/nntp/postgres/mysql] [URL]:[port]
Pro otestování e-mailového serveru můžete použít testovací stránku Internet.nl