Tips Membuat SSL Aman Pada Blog atau Website - Codexsec

Breaking

Monday, February 5, 2018

Tips Membuat SSL Aman Pada Blog atau Website


Seiring perkembangan teknologi dan perubahan SSL, kerentanan baru mulai menimbulkan masalah. Teknologi secure socket layer (SSL) telah berubah dalam beberapa tahun terakhir, dan kerentanan baru juga telah ditemukan.

Kali ini kita akan membahas lanskap keamanan SSL yang baru dan menguraikan masalah keamanan yang muncul.

Baca terus untuk mengetahui hal terbaru tentang masalah keamanan SSL dan langkah-langkah yang dapat dilakukan perusahaan untuk mengatasinya dan menerapkan SSL dengan aman:

Sertifikat SSL 

Sertifikat SSL adalah komponen kunci keamanan SSL dan menunjukkan kepada pengguna bahwa situs web tersebut dapat dipercaya.

Dengan pemikiran ini, harus diperoleh dari otoritas sertifikat yang andal (CA) - semakin besar pangsa pasar semakin baik, karena berarti semakin kecil kemungkinan sertifikat tersebut akan dicabut.

Organisasi tidak boleh mengandalkan sertifikat yang ditandatangani sendiri. Sertifikat idealnya menggunakan algoritma hashing SHA-2, karena saat ini tidak ada kerentanan yang diketahui dalam algoritma ini.

Sertifikat validasi perpanjangan (EV) memberikan cara lain untuk meningkatkan kepercayaan terhadap keamanan situs web.

Sebagian besar browser menampilkan situs web yang memiliki sertifikat EV dalam warna hijau yang aman, memberikan petunjuk visual yang kuat kepada pengguna akhir bahwa situs web tersebut dapat dianggap aman untuk digunakan.

Nonaktifkan dukungan untuk ciphers lemah 

Hampir semua server web mendukung enkripsi enkripsi yang kuat (128 bit) atau sangat kuat (256 bit), namun banyak juga mendukung enkripsi lemah, yang dapat dimanfaatkan oleh hacker untuk membahayakan keamanan jaringan perusahaan.

Tidak ada alasan untuk mendukung ciphers lemah, dan mereka dapat dinonaktifkan dalam beberapa menit dengan mengkonfigurasi server kaliandengan garis seperti:

SSLCipherSuite RSA:! EXP:! NULL: + HIGH: + MEDIUM: -LOW

Pastikan server Kalian tidak mendukung renegosiasi yang tidak aman

Kerentanan SSL dan TLS Authentication Gap memungkinkan seorang pria di Amerika untuk menggunakan renegosiasi untuk menyuntikkan konten sewenang-wenang ke dalam aliran data terenkripsi.

Sebagian besar vendor besar telah mengeluarkan patch untuk kerentanan ini, jadi jika kalian belum melakukannya, pastikan prioritas untuk menerapkan renegosiasi yang aman atau nonaktifkan renegosiasi yang tidak aman (lakukan perubahan yang diperlukan pada situs kalian) paling tidak.

Baca Juga : 


Pastikan semua tahap otentikasi dilakukan melalui SSL

Melindungi kredensial pengguna kalian adalah kunci, dan itu berarti mengirim pengguna formulir login kalian melalui koneksi SSL dan juga melindungi kredensial mereka dengan SSL saat dikirimkan kepada kalian.

Kegagalan untuk melakukan hal ini memungkinkan hacker untuk mencegat formulir kalian dan menggantinya dengan yang tidak aman.

Jangan mencampur konten dan plaintext yang dilindungi SSL di halaman web kalian.

Konten campuran dapat menyebabkan situs kalian dikompromikan karena satu sumber yang tidak dilindungi seperti Javascript dapat digunakan untuk menyuntikkan kode berbahaya atau menyebabkan serangan man-in-the-middle.

Gunakan HTTP Ketat Transport Security (HSTS) untuk melindungi domain (termasuk sub-domain)

Saat situs web dilindungi menggunakan HSTS, setelah kunjungan pertama semua tautan ke situs web dikonversi dari http ke https secara otomatis, dan pengunjung tidak dapat mengakses situs ini lagi kecuali jika diverifikasi oleh sertifikat yang valid dan tidak ditandatangani sendiri.

Itu berarti bahwa peretas tidak dapat mengalihkan pengguna kalian ke situs phishing yang mereka kontrol atas tautan yang tidak aman (menggunakan pengupasan SSL) atau mencuri cookie sesi tanpa jaminan (menggunakan Firesheep.)

Lindungi cookies dengan menggunakan bendera HttpOnly and Secure

Cookie yang digunakan untuk otentikasi selama sesi SSL dapat digunakan untuk mengkompromikan keamanan SSL sesi.

Flag HttpOnly membuat cookie yang kalian catat tidak terlihat oleh skrip sisi klien, sehingga tidak dapat dicuri melalui eksploitasi skrip lintas situs, sedangkan flag aman berarti cookie hanya dapat dikirim melalui koneksi SSL terenkripsi dan oleh karena itu tidak dapat dicega.

Mengkonfigurasi server web untuk mengeluarkan cookie dengan kedua atribut HttpOnly and Secure melindungi terhadap kedua jenis serangan ini.

Gunakan sertifikat Extended Validation (EV) 

Meskipun ini tidak penting untuk keamanan situs, sertifikat EV memberikan konfirmasi visual yang jelas di kebanyakan bilah alamat browser yang membuat sambungan SSL aman ke situs yang benar-benar milik kalian, dan belum dialihkan ke situs phishing.

Sertifikat EV hanya dikeluarkan setelah otoritas sertifikat telah mengambil langkah tegas untuk mengkonfirmasi identitas dan bahwa kamu memiliki atau mengendalikan nama domain yang dikeluarkan sertifikatnya.

Pastikan sertifikat kalian termasuk subdomain 

Untuk menghindari pengunjung situs mendapatkan kesalahan sertifikat pastikan bahwa keduanya https://www.yourdomain dan https://yourdomain dilindungi oleh sertifikat SSL kamu.

kamu dapat melakukannya dengan menggunakan sertifikat SSL multi-domain yang biasanya memungkinkan kamu menentukan hingga tiga Nama Alternatif Subjek (Subjek)

Jalankan tes SSL Server online

Kalian dapat memeriksa keseluruhan postur keamanan SSL, termasuk konfigurasi server SSL, rantai sertifikat, dan dukungan protokol dan cipher suite, serta mencari kelemahan yang diketahui seperti kerentanan renegosiasi, dengan menggunakan Uji SSL Server SSL Qualys SSL gratis.