Qual é o mérito de registrar o protocolo SSL e a criptografia?

Question

Qual é o mérito de registrar o protocolo SSL e a criptografia?

#1 resposta do (5 votos)

1

Estou hospedando um site que permite aos usuários se conectarem com HTTP ou HTTPS. A configuração padrão do apache gera um arquivo de log separado para solicitação feita por meio de HTTPS com duas informações adicionais, ou seja, protocolo (por exemplo, TLSv1) e cifra (por exemplo, DHE-RSA-CAMELLIA256-SHA). Eu queria saber o benefício de registrar essas duas informações extras ou se deveria apenas mesclá-las com o log de acesso sem essas duas colunas para facilitar a solução de problemas.

ssl logging apache-2.2

por Question Overflow 03.01.2013 / 14:28

1 resposta

Tags ssl logging apache-2.2

Como lidar com o tempo de inatividade do servidor web sem perder a classificação SEO? Server 2012 no Poweredge 2850

score 5 · Accepted Answer

Para compatibilidade máxima com navegadores, o Apache permitirá que uma ampla variedade de protocolos e cifras HTTPS seja usada.

No entanto, se você quiser garantir uma boa segurança com seu tráfego HTTPS, desative alguns desses protocolos (por exemplo, SSLv2) e cifras (por exemplo, RC2-CBC-MD5). Especialmente ao longo do tempo, como alguns protocolos / cifras têm mais e mais ataques viáveis montados contra eles. Os navegadores normalmente se conectam com um protocolo / criptografia mais strong, se puderem, e esse protocolo / cifra aparecerá em seus registros.

O possível problema é que, se você desativar esses protocolos / cifras menos seguros, E os navegadores de sua base de usuários não suportam os protocolos / cifras que você permite, algumas pessoas navegam em seu site (com um PC antigo ou telefone celular) podem não conseguir mais obter uma conexão HTTPS! Particularmente, se, como o Google ou outros sites, você forçar as pessoas a usar somente HTTPS por motivos de segurança (por exemplo, para proteger cookies de sessão contra sniffing sem fio), isso pode ser um problema.

Como você saberia se era seguro ou mais seguro desativá-los? como você poderia avaliar esse risco nos negócios? Bem, se você registrasse as cifras reais usadas pela sua base de usuários, você poderia ver facilmente se seus clientes foram impactados ou qual porcentagem de tráfego seria impactada removendo o acesso a esses protocolos / cifras. Ou pelo menos obter uma boa aproximação desse impacto. Os navegadores normalmente se conectam com um protocolo / criptografia mais strong, se puderem, e esse protocolo / cifra aparecerá em seus registros.

(Há também razões mais sutis, como garantir que seu servidor esteja usando o protocolo / criptografia que você acha que é e, por motivos forenses, se houver algum ataque de desclassificação SSL do MITM.)

Eu não tenho uma opinião strong sobre manter os logs mesclados ou separados, mas registrando as coisas separadamente, você pode ter um pequeno log que foca puramente em permitir essa análise em vez de ocupar seu log principal principal com ele. E pode girar em uma freqüência diferente, etc.