HTTPS je dobře známý protokol HTTP, který je krytý vrstvou šifrování SSL/TLS. Tento protokol je určen k zajištění důvěrnosti a integrity šifrováním komunikace mezi serverem a koncovými uživateli, čímž jsou vaše data zabezpečena před zvědavýma očima.
4D v16 R6 jde ještě o krok dál: 4D Web server nyní podporuje Perfect Forward Secrecy (PFS). To vám poskytuje nejvyšší úroveň zabezpečení vaší komunikace – ve výchozím nastavení! Kromě ochrany, kterou poskytuje, zvyšuje podpora PFS také výsledky testů auditu SSL serveru 4D out-of-the-box, což je pro naše zákazníky skvělé. Zejména pro ty, kteří pracují s citlivými informacemi.
Zvýšené výchozí zabezpečení
Výchozí úroveň zabezpečení webového serveru 4D byla zvýšena , aby byla v souladu s některými síťovými bezpečnostními prvky (napříkladApp Transport Security (ATS ) v systému iOS) a aby bylo možné dosáhnout lepších výsledků v testech auditu zabezpečení webu (např.: SSL Labs).
Za tímto účelem jsme:
- zapnuli funkci Perfect Forward Secrecy (dokonalé utajení dopředu) a
- zakázali algoritmus RC4 v seznamu šifer.
Výsledkem je, že webový server 4D nyní získává hodnocení „A“ v testu serverů SSL Labs – tak jak je, bez nutnosti jakýchkoli zásahů!
Perfect Forward Secrecy
Perfect Forward Secrecy (PFS ) je algoritmus pro výměnu klíčů. Používá Diffieho-Hellmanovy (DH) algoritmy ke generování klíčů relace takovým způsobem, že je mohou získat pouze dvě strany zapojené do komunikace.
4D automaticky zapne PFS, když je na serveruaktivováno TLS. Za tímto účelem 4D vygeneruje soubor„dhparams.pem“ – pokud již neexistuje – který obsahuje soukromý klíč DH vašeho serveru. Pokud použijete standardní seznam šifer 4D, je systém PFS připraven k použití. Pokud dáváte přednost použití vlastního seznamu šifer, ověřte, zda obsahuje položky s algoritmy ECDH nebo DH.
Chcete-li zjistit, zda je na vašem webovém serveru povolen systém PFS, spusťte příkaz WEB Get server info s novým atributem perfectForwardSecrecy. Ten zkontroluje, zda jsou splněny všechny podmínky potřebné pro použití systému PFS:
- TLS je povoleno
- Seznam šifer obsahuje alespoň jeden algoritmus ECDH nebo DH.
- Je přítomen a platný soubor„dhparams.pem „.
- Jsou přítomny všechny certifikáty SSL/TLS
Algoritmus RC4 je zakázán
Algoritmus RC4 má známé bezpečnostní problémy a je nyní ve webovém serveru 4D Web Server zastaralý. Všechny šifry RC4 byly odstraněny ze seznamu výchozích šifer a do aktualizovaného seznamu šifer byl přidán vzor „!RC4“, který je výslovně zakazuje.