HTTPS pro správce serverů
HTTPS se stává běžným, většina webů už ho nasadila. Jak to ale udělat správně, opravdu bezpečně a hlavně bezbolestně? Ukážeme si nejnovější trendy, prakticky si vyzkoušíme vygenerování certifikátu a nasazení na web server.
- Petr Krčmář Šéfredaktor serveru Root.cz
Co se na školení naučíte
Naučíte se, jak funguje šifrování na webu, k čemu slouží certifikát, jak to všechno prakticky použít a bezpečně nasadit.
Pro koho je školení určeno
Školení je určeno pro správce internetových serverů, zejména těch webových.
Potřebné znalosti účastníka
Účastník by měl umět základy správy linuxového systému, měl by být schopen instalovat software, spouštět běžné utility a editovat soubory.
Náplň školení
Na začátku školení se seznámíme s protokolem TLS (nástupce SSL) a řekneme si, jak se používá v souvislosti s HTTPS. Řekneme si, jak šifrování webového provozu zlepšuje bezpečnost a před čím vás naopak neochrání vůbec.
Dále nás bude zajímat problém důvěryhodného předání veřejného klíče a popíšeme si roli certifikačních autorit. Řekneme si také, co je to ten certifikát, jak funguje a co všechno obsahuje. Prozradíme si také, že certifikáty na sebe navazují a vytvářejí takzvaný řetězec důvěry.
Poté si nějaký certifikát stáhneme a podíváme se doopravdy do jeho vnitřního uspořádání. Použijeme k tomu švýcarský nůž zvaný OpenSSL, kterým jsme schopni vše podrobně rozebrat a prozkoumat. Řekneme si, jaké položky v certifikátu najdeme a jaký pro nás mají význam.
Nastane čas získat svůj vlastní certifikát, konkrétně od služby Let's Encrypt. Ta nabízí důvěryhodné certifikáty zdarma a vydává je automatizovaně, čehož využijeme. Řekneme si, jak celé vystavení probíhá, co vše je k úspěšné validaci potřeba a jak to udělat prakticky.
Samotný ceritifkát ale pro bezpečnost nestačí, je třeba také správně zvolit a nakonfigurovat jednotlivé bezpečností algoritmy. Řekneme si proto, jaký je vztah SSL a TLS, proč jsou starší algoritmy děravé a jak se jim vyhnout. Povíme si, jak od sebe zapadá výměna klíčů, podpis klíče a šifrovací algoritmy.
Dále se budeme zabývat konkrétní konfigurací webového serveru, na kterém získáme a nainstalujeme certifikát, zvolíme bezpečné šifrovací algoritmy a budeme ladit další parametry. Zabývat se budeme například bezpečnostními hlavičkami, které umí klienta informovat o bezpečném chování. Řekneme si, jaké hlavičky existují, co umožňují nastavit a jak je zobrazit či do svého serveru přidat.
Vysvětlíme si také, co je to Certificate Transparency a proč je to důležité pro bezpečné šifrování na webu. Povíme si o záznamech SCT a jejich distribuci k uživatelům. Bez nich totiž dnes nejsou certifikáty důvěryhodné, proto jim musíme věnovat náležitou pozornost.
Zmíníme se také zvláštní záznamy DNS, které souvisejí se šifrováním. Řekneme si, jak do zóny přidat veřejný klíč pomocí záznamu TLSA a jak vybrat certifikační autority pomocí záznamu CAA. Nakonec si ukážeme, jak celou svou konfiguraci podrobně otestovat, abychom si byli jisti, že máme všechno správně.
Celé školení je koncipováno maximálně prakticky, pro účastníky jsou připravena cvičení, na kterých si vše osahají a vyzkoušejí.
Na školení je nutné
Mít vlastní notebook a nainstalovaného SSH klienta.
Jak bude školení probíhat?
Školení bude probíhat na platformě Zoom (https://zoom.us/), účastníci obdrží ID konference, do které se připojí.
O lektorovi
-
Petr Krčmář
Šéfredaktor serveru Root.czPetr Krčmář působí jako šéfredaktor serveru Root.cz. Vystudoval elektroniku se zaměřením na počítačové systémy. GNU/Linuxem a Unixem obecně se zabývá téměř dvacet let a věnuje se především jeho nasazení v počítačových sítích a bezpečnostní politice. Propaguje nasazení otevřeného software a svobodný přístup k informacím. Je aktivním členem sdružení vpsFree.cz, ve kterém členové spravují vlastní VPS infrastrukturu.
Časté otázky a odpovědi
Kontakt
