๐Ÿ…ฐ๏ธ
blog.cat.ssl

SSL Labs testida A+ baho olish: Qualys SSL Server Test natijasini yaxshilash

05.11.2035
โ† Barcha maqolalar

Qualys SSL Labs Server Test โ€” bu butun dunyo bo'ylab xavfsizlik mutaxassislari foydalanadigan standart vosita. Test natijasi A dan T gacha shkalada beriladi, eng yuqori baho esa A+ hisoblanadi. Bu baho saytning SSL sertifikati, shifrlash algoritmlari, kalit almashinuvi mexanizmi va himoya sarlavhalarining mukammal sozlanganini ko'rsatadi. Banklar, davlat tashkilotlari va yirik korporativ saytlar uchun A+ baho majburiy talab hisoblanadi, chunki bu mijozlarning ishonchini oshiradi va xavfsizlik auditidan o'tishni osonlashtiradi.

A+ baho olish uchun asosiy talablar

Birinchi shart โ€” TLS 1.2 va TLS 1.3 versiyalarini yoqish, eski TLS 1.0 va 1.1 versiyalarini esa butunlay o'chirib qo'yish. Ikkinchi shart โ€” faqat zamonaviy shifrlash algoritmlaridan foydalanish, masalan AES-256-GCM va ChaCha20-Poly1305 kabilar. RC4, 3DES va MD5 algoritmlari taqiqlanishi shart. Uchinchi shart โ€” Forward Secrecy ni ta'minlovchi ECDHE yoki DHE kalit almashinuvi mexanizmlarini ishlatish. To'rtinchi shart โ€” sertifikat zanjirining to'liq va to'g'ri tartibda yuborilishi, ya'ni server o'z sertifikati bilan birga oraliq sertifikatlarni ham qaytarishi kerak.

HSTS sarlavhasi va preload ro'yxati

HTTP Strict Transport Security sarlavhasi A+ baho olishning eng muhim sharti hisoblanadi. Bu sarlavha brauzerga ushbu saytga faqat HTTPS orqali kirish kerakligini bildiradi va man-in-the-middle hujumlardan himoyalanish imkonini beradi. Sarlavhada max-age qiymati kamida 63072000 soniya, ya'ni ikki yilga teng bo'lishi kerak. Bundan tashqari includeSubDomains va preload parametrlari ham qo'shilgani ma'qul. Preload ro'yxatiga qo'shilgan saytlar Chrome, Firefox va Safari brauzerlariga oldindan ma'lum bo'ladi va birinchi tashrifdayoq HTTPS majburiy bo'ladi.

OCSP Stapling va sertifikat parametrlari

OCSP Stapling โ€” bu sertifikatning amal qilish holatini tekshirish jarayonini tezlashtiruvchi va maxfiylikni saqlovchi texnologiya. Uni yoqish uchun web server konfiguratsiyasida bir nechta qator qo'shish kifoya. Sertifikat o'zi esa kamida 2048 bitli RSA yoki 256 bitli ECDSA kalitiga ega bo'lishi, SHA-256 yoki undan kuchli xesh algoritmi bilan imzolanishi kerak. Wildcard yoki SAN sertifikatlardan foydalanishda barcha sub-domenlar to'g'ri kiritilganini tekshirish lozim, aks holda umumiy bahoga salbiy ta'sir qiladi.

Qo'shimcha xavfsizlik sarlavhalari

A+ baho olish uchun faqat SSL sozlamalari yetarli emas, qo'shimcha HTTP xavfsizlik sarlavhalari ham talab qilinadi. Content-Security-Policy sarlavhasi XSS hujumlardan himoya qiladi va qaysi resurslar yuklanishi mumkinligini belgilaydi. X-Frame-Options sarlavhasi clickjacking hujumlarining oldini oladi. X-Content-Type-Options sarlavhasi MIME tipini noto'g'ri talqin qilishdan himoyalaydi. Referrer-Policy esa foydalanuvchi maxfiyligini saqlash uchun zarur. Bu sarlavhalarning barchasi to'g'ri qiymatlar bilan o'rnatilgan bo'lsa, umumiy baho yuqoriroq bo'ladi.

Sayt.uz amaliyot

Sayt.uz hosting platformasidagi barcha SSL sertifikatlar standart holatda A+ baho oladigan qilib sozlangan. Mijozlarimizning 96 foizi birinchi urinishdayoq A+ baho oladi, qolgan 4 foiziga esa bizning mutaxassislarimiz bepul yordam berishadi. Tekshiruv xizmati ham bepul, har bir mijozga oyiga uch marta professional SSL audit o'tkazib beriladi. Konsalting xizmati 49 ming so'm dan boshlanadi, lekin hosting mijozlari uchun bu xizmat batamom tekin. Premium audit paketi 149 ming so'm bo'lib, unga butun infrastrukturani tekshirish va batafsil hisobot kiradi.

O'xshash maqolalar

๐Ÿ“ฑ SSL pinning: mobil ilovalarda MITM hujumlardan himoyaning eng samarali usuli ๐Ÿค SSL handshake jarayoni: TLS muloqotining ichki mexanikasi va bosqichlari ๐Ÿ”“ HTTPS yashil qulf yo'qoldi: sabablar ro'yxati va bosqichma-bosqich tuzatish โฐ SSL sertifikat muddatini kuzatish: monitoring tizimlari va ogohlantirish xizmatlari
๐ŸŒ Til
๐Ÿ‡บ๐Ÿ‡ฟ O'zbek โœ“ ๐Ÿ‡บ๐Ÿ‡ฟ ะŽะทะฑะตะบ ๐Ÿ‡ท๐Ÿ‡บ ะ ัƒััะบะธะน ๐Ÿ‡ฌ๐Ÿ‡ง English