J3qx

information archive

Posts Tagged ‘SSL’

Certificate Authority Authorization – обязателен к проверке с сентября 2017

Posted by j3qx на Июль 9, 2017

Защищаемся от фальшивых сертификатов настройкой CAA в DNS

Стандарту CAA, описанному в RFC 6844 уже около 4х лет, и всё это время он находился в состоянии рекомендации.

Суть стандарта и механизм его использования есть в нашей статье про настройку TLS, поэтому не будем повторяться.

Так вот, в марте 2017 года CA/Browser Forum абсолютным большинством проголосовал за то, чтобы проверка CAA стала обязательной с сентября 2017 года.

Как выглядит утверждённый механизм проверки CAA?

Механизм выглядит так – если кто-то запрашивает определённый CA на выдачу сертификата для домена testdomain.local., то CA запрашивает через DNS разрешение CAA-записи за этот домен.

Читать далее…

Реклама

Posted in web | Отмечено: , , | Leave a Comment »

Масштабируя TLS

Posted by j3qx на Июнь 4, 2017

Хабр, это доклад с одного из «не главных» залов Highload++ 2016. Артём ximaera Гавриченков, технический директор Qrator Labs, рассказывает про прикладное шифрование, в том числе, в высоконагруженных проектах. Видео и презентация в конце поста — спасибо Олегу Бунину.

Приветствую! Мы продолжаем находиться на сессии про HTTPS, TLS, SSL и всё такое.
То, о чём я сейчас буду говорить — не какой-то туториал. Как говорил мой преподаватель в университете по базам данных, Сергей Дмитриевич Кузнецов: «Я не буду учить вас настраивать Microsoft SQL сервер — пусть это делает Microsoft; не буду учить вас настраивать Oracle — пусть это делает Oracle; не буду учить вас настраивать MySQL — делайте это сами».

Точно так же и я не буду учить вас настраивать NGINX — это всё есть на сайте у Игоря Сысоева. Что мы обсудим, так это некий общий взгляд на проблематику и на возможности для решения проблем, которые возникают при внедрении шифрования на публичных сервисах.

Небольшой экскурс в совсем новейшую историю: как известно, в последнее время тема шифрования публичных сервисов поднялась на какой-то новый уровень — она на слуху и слайд выше отображает, как примерно это происходило.

Читать далее…

Posted in highload | Отмечено: , , , | Leave a Comment »

OpenSSL, ssl_ciphers и nginx: прокачиваем на 100% tutorial

Posted by j3qx на Июнь 4, 2017

 

Много где написано о том, как получить 100% и A+ по тесту от Qualys. При всём при том практически везде директивы ssl_ciphers и подобные даются как эдакие магические строки, которые нужно просто вставить, и надеяться, что автор не подводит вас под монастырь. Эта статья призвана исправить это недоразумение. По прочтению этой статьи директива ssl_ciphers потеряет для вас всякую магию, а ECDHE и AES будут как друзья да братья.

Подготовка

 

Работать будем с Debian 8.7. Если у вас другой дистрибутив, то версии должны быть такие же или более новые.

 

# lsb_release -d
Description:    Debian GNU/Linux 8.7 (jessie)

# openssl version
OpenSSL 1.0.1t  3 May 2016

# nginx -V
nginx version: nginx/1.6.2

 

 

Читать далее…

Posted in sysadmin | Отмечено: , , , | Leave a Comment »

Forward Secrecy и Perfect Forward Secrecy

Posted by j3qx на Июнь 4, 2017

Forward Secrecy и Perfect Forward Secrecy

Forward Secrecy и Perfect Forward Secrecy — есть ли различие и в чём оно?

Терминологические вопросы в IT – штука очень серьёзная; незнание или некорректная трактовка каких-либо терминов может привести к принятию неправильных решений и прочим неприятностям.

Однако разбираться в том, что обозначает “вроде как очевидный термин” многим неприятно. Во-первых приятно считать себя экспертом, исходя из “я быстро на бегу сообразил что к чему, и с первого раза правильно, а кто сомневается – просто лох” – это ласкает самомнение. Во-вторых копание в деталях для многих утомительно и зачастую даже невозможно – увлечение соц.сетями и укорачивание краткосрочной памяти дают о себе знать, и люди банально не могут дольше минуты-другой сосредоточиться на какой-то задаче и пошагово разобраться, следуя за логическими рассуждениями.

Поговорим немножко о термине Forward Secrecy и тонкостях использования оного.

Необходимость Forward Secrecy

Представьте себе простую ситуацию – сервер платёжной системы, предоставляющий HTTPS-доступ к личному кабинету.

 

Читать далее…

Posted in IT expert | Отмечено: , , | Leave a Comment »

Скучно о дешифрации

Posted by j3qx на Январь 20, 2017

Нет, а вы вообще когда-либо видели веселый текст про SSL?

Я – нет. Но нам все равно придется страдать. Вы могли бы пролистать этот материал и почитать что-нибудь более интересное и интригующее. Но если вам надо разобраться, как и зачем это работает, то советую запастись чем-нибудь бодрящим. Ибо далее неподготовленный человек рискует заснуть.

Я, конечно, возьму на себя ответственность и буду периодически вас будить. Однако, советую все же налить себе чашечку крепкого кофе и устроиться поудобнее. Поговорить нам надо о многом:
дешифрация NGFW – дело тонкое.

В комментариях к материалу о ISE+FirePOWER разгорелся спор на тему дешифрации. Я решил разобраться подробнее в этой УВЛЕКАТЕЛЬНОЙ теме.

Все известные мне решения NGFW, UTM и Web proxy для дешифрации https используют подмену сертификата. Оперировать буду на примере Cisco virtual FirePOWER Thread Defense (далее vFTD) под управлением Cisco FirePOWER Management Center virtual (далее FMC).

Мой коллега когда-то уже подробно описывал это решение здесь. Упомянутые принципы применимы к большинству подобных решений.

Читать далее…

Posted in IT expert | Отмечено: , , | Leave a Comment »

Скучно о работе дешифрации NGFW

Posted by j3qx на Январь 20, 2017

Если вы хотите окончательно испортить первое свидание – поговорите с девушкой о дешифрации. Да и в случае последующих – тоже не стОит.

Наша встреча с вами не первая, поэтому в этом тексте речь снова пойдет о дешифрации.
Да, я вновь расскажу об SSL. Могу обрадовать себя и вас тем, что это второй и последний материал на эту тему. Возможно.

В прошлый раз мы выяснили, зачем может понадобиться дешифровать многострадальный SSL.
В этом материале разберём, как именно работает дешифрация с подменой сертификата.

Что нам для этого нужно?

Для начала вспомним, как работает SSL. Я кратко опишу основные моменты.

После установления TCP-сессии между клиентом и сервером происходит SSL Handshake. В его рамках обе стороны обмениваются сообщениями Client Hello и Server Hello.


Дамп установления SSL-соединения с vk.com

Читать далее…

Posted in IT expert | Отмечено: , , , | Leave a Comment »

Уходим с SSL на TLS

Posted by j3qx на Сентябрь 9, 2012

Уходим с SSL на TLS

Привет.

Введение

Протоколу SSL уже много времени, и ему пора на покой. Тем более – замена ему достаточно давно уже есть. Выглядит она как протокол TLS, который вырос, возмужал, и готов к работе. Я попробую чуть-чуть пробежаться по тому, что и как для этого надо сделать в Windows Server и основных серверных приложениях.

Оглавление

  • Краткая история вопроса – SSL
  • Версии и преимущества TLS
    • Про TLS 1.0
    • Про TLS 1.1
    • Про TLS 1.2
    • Про TLS 1.2 и Windows XP SP3
    • Про TLS 1.2 и Windows 2003 SP2
  • BEAST: как работает атака на SSL 2.0/3.0 и TLS 1.0
  • Включаем TLS на Windows-системе
  • Отключаем SSL на Windows-системе Читать далее…

Posted in IT expert, ITSecurity, sysadmin | Отмечено: , , , | Leave a Comment »

SSL туннелинг и атаки с использованием SSL

Posted by j3qx на Январь 8, 2009

SSL туннелинг и атаки с использованием SSL

Как правило, в приложениях электронной коммерции конфиденциальные данные передаются с использованием протокола SSL. На его основе между Web-броузером и Web-сервером устанавливается зашифрованное соединение, в рамках которого передаваемые данные защищены от прослушивания. При разработке протокола SSL преследовалась единственная цель: обеспечить невозможность перехвата пакетов с помощью сетевых анализаторов пакетов. С использованием этих средств злоумышленники извлекают из передаваемых данных конфиденциальную информацию. Для выявления вторжений протокол SSL является единственным существенным препятствием. В большинстве систем SSL для сбора данных о сетевой деятельности используются средства анализа пакетов. Если передаваемые данные зашифрованы, то их анализ и проверку на «благонадежность» выполнить уже невозможно. Все IDS, работа которых основана на анализе сетевых пакетов, «не замечают» атаки на базе SSL.
Читать далее…

Posted in Взлом | Отмечено: , , | Leave a Comment »