Проверка параметров SSL/TLS-серверов в консоли FreeBSD

Проверка параметров SSL/TLS Если Вы захотите выяснить параметры SSL/TLS некоторого публичного HTTPS-сервера, Вам поможет не нуждающийся в представлении SSL Server Test от Qualys SSL Labs. А что делать, если потребуется проверить аналогичные параметры HTTPS-серверов, доступ к которым ограничен, или серверов FTP, IRC, IMAP, POP3, SMTP, XMPP и PostgreSQL, которые поддерживают SSL/TLS? Не думаю, что Вы сильно удивитесь, если я предложу воспользоваться популярными в мире Linux и Unix инструментами, к числу которых относятся OpenSSL, nmap и SSLScan.

Какие параметры мы будем проверять?

Эта заметка описывает относительно простые в использовании и доступные в большинстве операционных систем семейства Linux / Unix способы проверки таких параметров SSL/TLS-серверов, как свойства и отсутствие ошибок установки их собственных SSL-сертификатов (далее — сертификатов), свойства и корректность работы цепочек сертификатов, в состав которых входят серверные сертификаты, поддержка TLS-расширений Server Name Indication и OCSP stapling, поддержка SSL/TLS-протоколов (далее — протоколов), а также соответствующих им наборов шифров, и, наконец, наличие некоторых опасных уязвимостей. Невзирая на то, что для решения перечисленных задач хватит функциональности OpenSSL, я рекомендую Вам не игнорировать соответствующие возможности nmap и SSLScan, использование которых не требует специальной подготовки, а результаты работы предоставляются в более простой для восприятия форме. Продолжить чтение »

Разное качество поддержки протокола HTTPS на разных хостингах

SSL Если раньше большинство сайтов использовало небезопасный протокол HTTP, то сегодня наблюдается массовый переход на протокол HTTPS, обеспечивающий шифрование данных. Эта тенденция добралась даже до меня, и я перевел свой персональный сайт на протокол HTTPS. Получив бесплатный SSL-сертификат (далее — сертификат) StartCom Class 1 DV, я занялся включением протокола HTTPS на хостинге. Оказалось, что в случае одних хостингов для этого требуется много времени и нервов, в случае других — все делается очень просто.

Очень похожие обещания хостеров

Сегодня многие хостеры продают сертификаты и обеспечивают поддержку протокола HTTPS даже на начальных тарифах. Например, HTS.ru, услугами которого я пользовался примерно с марта 2015 года, и Beget, на который пришлось перейти в конце июня 2016 года, предоставляют сертификаты (в отличие от HTS.ru, Beget предлагает не только купить платные, но и получить бесплатные сертификаты) и позволяют включить протокол HTTPS даже на самых дешевых тарифах Анлим 1 (1000Мб) и Blog, соответственно. Кажется, что предложения очень похожи, и можно воспользоваться услугами любого хостера. Как оказалось, здесь может скрываться большая ошибка, для выявления которой придется испытать обе услуги на собственной шкуре своем сайте. Именно поэтому я решил написать данную статью, которая поможет Вам хотя бы примерно знать о «сюрпризах», связанных с поддержкой протокола HTTPS на хостингах. Продолжить чтение »

FreeBSD: Настройка OpenVPN с использованием сертификатов X.509

OpenVPN Данная версия статьи полностью переработана (исправлены все найденные ошибки) и дополнена примером организации виртуальной частной сети компании, в которой я работаю в настоящее время. Огромное спасибо всем, кто помог мне решить возникшие проблемы.

Постановка задачи

Необходимо создать виртуальную частную сеть между несколькими офисами компании, подключенными к Интернет. Как известно, существует множество решений данного вопроса, которые многократно сравнивались по соотношениям функциональности / надежности / стоимости. Рекомендую Вам прочитать статью А. Бешкова OpenVPN, или Кроссплатформенная частная сеть. В ней описано очень простое, но достаточно надежное решение на базе бесплатного пакета OpenVPN, использующее статические ключи для шифрования трафика. OpenVPN позволяет разворачивать гораздо более гибкие конфигурации и использовать сертификаты SSL/TLS вместо статических ключей. В данной статье рассмотрена одна из таких конфигураций. Продолжить чтение »

FreeBSD: Простейший POP3/POP3S-сервер на базе popa3d и stunnel

Постановка задачи

Необходимо быстро и без лишних заморочек настроить не требовательный к ресурсам и простой в администрировании POP3-сервер для обслуживания среднего офиса (до 50-100 клиентов) с возможностью безопасного использования из-за пределов корпоративной сети (другими словами, с поддержкой протокола POP3S). Описанный в данной статье POP3/POP3S-сервер более двух лет работал совместно с почтовой системой среднего офиса на базе Postfix, однако его можно использовать в составе любых других почтовых систем с небольшим количеством клиентов. При всей своей простоте сервер надежен и стабилен. Продолжить чтение »