Qualys SSL Labs Server Test — это стандартный инструмент, которым пользуются эксперты по безопасности по всему миру. Результат теста выдается по шкале от A до T, при этом высшей оценкой является A+. Эта оценка показывает, что SSL сертификат сайта, алгоритмы шифрования, механизм обмена ключами и заголовки защиты настроены идеально. Для банков, государственных учреждений и крупных корпоративных сайтов оценка A+ является обязательным требованием, поскольку она повышает доверие клиентов и упрощает прохождение аудита безопасности.
Основные требования для получения A+
Первое условие — включить версии TLS 1.2 и TLS 1.3, при этом полностью отключить старые версии TLS 1.0 и 1.1. Второе условие — использовать только современные алгоритмы шифрования, такие как AES-256-GCM и ChaCha20-Poly1305. Алгоритмы RC4, 3DES и MD5 должны быть запрещены. Третье условие — применять механизмы обмена ключами ECDHE или DHE, обеспечивающие Forward Secrecy. Четвертое условие — полная и правильная передача цепочки сертификатов, то есть сервер должен возвращать свой сертификат вместе с промежуточными.
Заголовок HSTS и preload список
Заголовок HTTP Strict Transport Security является важнейшим условием для получения оценки A+. Этот заголовок сообщает браузеру, что доступ к данному сайту должен осуществляться только через HTTPS, и обеспечивает защиту от атак типа man-in-the-middle. Значение max-age в заголовке должно быть не менее 63072000 секунд, то есть два года. Кроме того, желательно добавить параметры includeSubDomains и preload. Сайты, добавленные в preload список, заранее известны браузерам Chrome, Firefox и Safari, и для них HTTPS становится обязательным уже при первом посещении.
OCSP Stapling и параметры сертификата
OCSP Stapling — это технология, ускоряющая процесс проверки статуса сертификата и сохраняющая конфиденциальность. Для ее включения достаточно добавить несколько строк в конфигурацию веб-сервера. Сам сертификат должен иметь ключ RSA не менее 2048 бит или ECDSA 256 бит, а также быть подписан алгоритмом хеширования SHA-256 или более сильным. При использовании Wildcard или SAN сертификатов необходимо проверить, что все поддомены указаны правильно, иначе это негативно скажется на общей оценке.
Дополнительные заголовки безопасности
Для получения оценки A+ недостаточно одних SSL настроек, требуются также дополнительные HTTP заголовки безопасности. Заголовок Content-Security-Policy защищает от XSS атак и определяет, какие ресурсы могут загружаться. Заголовок X-Frame-Options предотвращает атаки clickjacking. Заголовок X-Content-Type-Options защищает от неправильной интерпретации MIME типа. Referrer-Policy необходим для сохранения конфиденциальности пользователя. Если все эти заголовки установлены с правильными значениями, общая оценка будет выше.
Практика Sayt.uz
Все SSL сертификаты на хостинг платформе Sayt.uz по умолчанию настроены для получения оценки A+. 96 процентов наших клиентов получают A+ с первой попытки, остальным 4 процентам наши специалисты помогают бесплатно. Услуга проверки также бесплатна, каждому клиенту три раза в месяц проводится профессиональный SSL аудит. Консалтинг начинается от 49 тысяч сум, но для клиентов хостинга эта услуга полностью бесплатна. Премиум пакет аудита стоит 149 тысяч сум и включает проверку всей инфраструктуры с подробным отчетом.