O SSL Labs foi lançado pela primeira vez em 2009, tendo como principal objetivo fornecer diagnósticos abrangentes de problemas de configuração de SSL / TLS e PKI. No entanto, o projeto também forneceu uma maneira de medir e comparar a qualidade da configuração, principalmente usando as notas da letra A até F.
Essa abordagem de classificação se mostrou muito popular e ajudou muitas organizações a melhorar sua postura de segurança. O Powertic Cloud por exemplo é 100% compatível com o SSL A+ e todos os Mautics que possuem SSL já saem com nota máxima.
Você pode acessar teste do SSL em o https://www.ssllabs.com/ssltest/
A compreensão da segurança do TLS e do PKI hoje é muito diferente daquela em 2009. O algoritmo de gradação do SSL Labs manteve as alterações em grande parte, mas é hora de uma revisão completa.
Agora em 2018 o SSL LAbs apresentou uma nova versão do algoritmo de gradação que foi feito do zero. Com esta versão, temos os seguintes recursos de avaliação:
- Uma nova abordagem de classificação para incorporar tudo o que sabemos agora sobre a segurança do TLS e do ecossistema PKI, cobrindo todas as técnicas de segurança atuais e permitindo o próximo lote de recursos que virá em um futuro próximo.
- Atribuição de significados claros para cada uma das notas.
- Divisão da classificação em uma série de regras individuais, cada uma das quais deve ser fácil de avaliar individualmente.
Além disso essa nova versão de nossos critérios de classificação aumentará ainda mais os critérios para o que é considerado uma segurança razoável.
O objetivo do SSL LAbs é fornecer notas significativas e fáceis de entender para avaliar configurações SSL / TLS e PKI. As notas de A até F têm se mostrado muito bem-sucedidas e fáceis de entender. Embora o significado das notas das letras possa ser amplamente discutido o guia de classificação original do SSL Labs nunca as definiu e isso causou inconsistências em como as notas foram aplicadas.
Abaixo segue uma pequena descrição do significado de cada nota do SSL Labs:
- A+ – configuração excepcional
- A – forte segurança comercial
- B – segurança adequada com clientes modernos, com criptografia mais antiga e potencialmente obsoleta usada com clientes mais antigos; problemas de configuração potencialmente menores
- C – configuração obsoleta, usa criptografia obsoleta com clientes modernos; problemas de configuração potencialmente maiores
- D – configuração com problemas de segurança que normalmente são difíceis ou improváveis de serem explorados, mas que podem e devem ser abordados
- E – não utilizado
- F – problemas exploráveis e / ou patchable, servidor mal configurado, protocolos inseguros, etc.
É importante deixar claro que, embora A+ seja claramente a nota desejada, as notas A e B são aceitáveis e resultam em segurança comercial adequada.
A classe B, em particular, pode ser aplicada a configurações projetadas para suportar audiências muito amplas, muitas das quais usam programas muito antigos para se conectar.
A nota C geralmente é usada para configurações que não seguem as práticas recomendadas. As classes D e F são usadas para servidores com sérios problemas de configuração e segurança.
O que é uma boa configuração para o SSL Labs?
Em algum nível definir boas configurações de TLS e PKI não é muito difícil. O SSL Labs possui critérios para que contenha uma regra positiva para cada um dos atributos de configuração desejáveis. Se olharmos apenas para essas regras, obtemos os seguintes princípios que se aplicam a todos os servidores TLS.
- Ter uma chave privada forte
- Use um certificado válido para consumo público
- Tenha uma cadeia de certificados correta
- Ter um certificado com um forte algoritmo de assinatura
- Suporte TLS 1.2
- Suporte e prefira o “forward secrecy” (efetivamente, ECDHE, já que os navegadores modernos não suportam mais o DHE)
- Suporte e prefira criptografia autenticada (AEAD)
- Use um algoritmo de criptografia forte e tamanhos de chave simétricos fortes
- Use troca de chaves forte
Além disso, para aplicativos da Web, os seguintes princípios se aplicam:
- Use HTTPS para conteúdo (HTTP somente para redirecionamento para HTTPS)
- Use HTTP Strict Transport Security (HSTS), com longa duração e pré-carregado
- Tenha todos os cookies seguros
- Não tem conteúdo misto
- Use o CSP para mitigar conteúdo misto
Aqui na Powertic todos os websites e mautics que possuem SSL são disponibilizados com SSL nota A+. Assim garantimos mais segurança e compatibilidade com padrões de homologação de ambiente.
Então parece fácil olhando por cima mas não é realmente na prática. Primeiro, seguir todos os itens acima forneceria uma segurança forte, mas também é provável que recusasse o serviço a alguns clientes mais antigos (Windows XP por exemplo). Em segundo lugar, em muitos ambientes, não é possível cumprir todos os itens acima ou, às vezes, não rapidamente. Assim, as regras que foram citadas acima são importantes.
O critério A+ é o objetivo para o qual você deve estar trabalhando quando for capaz de alcançá-lo. Enquanto isso, você deve conseguir acessar A e B se estiver trabalhando com uma base de usuários muito ampla.