5 Best Practices für Ihre TLS-Konfiguration
TLS ist enorm wichtig – kann aber besonders in größerem Maßstab auch für die besten Entwickler eine große Herausforderung darstellen. Und genau dort kommt unser TLS Support Team ins Spiel. Es unterstützt Kunden bei der Verwaltung von Zertifikaten – ganz gleich, ob es sich dabei um eines oder Tausende handelt. Indem wir zahlreichen Kunden geholfen haben, ihre DNS- und TLS-Konfigurationen an ihre Bedürfnisse anzupassen, haben wir einiges gelernt.
Heute möchte ich fünf Best Practices mit Ihnen teilen, die wir erarbeitet haben, und die Sie in Ihren Workflow implementieren können, um das Beste aus Ihrer TLS-Konfiguration herauszuholen:
1. Vermeiden Sie nach Möglichkeit Certificate/Key Pinning.
Sicherheitsexperten und verschiedene Zertifizierungsstellen weisen darauf hin, dass Certificate Pinning komplexer ist, als man denkt. Früher rieten mehrere bekannte Technologieunternehmen zum Pinnen von Zertifikaten, doch die Zeiten haben sich geändert. Mit Pinning können Websites das Risiko der Gefährdung einer Certificate Authority oder eines Man-in-the-Middle-Angriffs eindämmen. Wenn Sie Ihre Einstellungen aber falsch konfigurieren, kann das dazu führen, dass der Zugriff auf Ihre Website gesperrt wird. Und die Lösung des Problems kann Ihr Unternehmen eine Menge Zeit und Geld kosten.
2. Erstellen Sie einen internen Plan für TLS-Eskalationen.
Wie bei jeder Sicherheitsmaßnahme ist es empfehlenswert, immer einen Plan B zu haben. Entwickeln Sie einen Notfallplan für die Kontaktaufnahme mit Ihrem Anbieter. Bei Fastly empfehlen wir zum Beispiel Folgendes:
Halten Sie unsere Support-E-Mail stets griffbereit: support@fastly.com.
Fügen Sie dem ersten Satz Ihrer E-Mail P1 hinzu. Mit dieser Abkürzung für Priorität 1 gewinnen Sie auf jeden Fall unsere Aufmerksamkeit.
Teilen Sie uns in Ihrer E-Mail alle Details mit, die wir für die Lösung des Problems benötigen. Das können die Certificate ID, TLS-Konfigurationen oder eventuell betroffene Domains sein. Wenn wir all diese Informationen auf Anhieb vorliegen haben, spart uns das Zeit, sodass wir sofort mit der Problemlösung beginnen können.
Obwohl ich mich hier als Beispiel nur auf Fastly beziehe, gilt dieser Ratschlag eigentlich für alle Anbieter.
3. Nehmen Sie Änderungen zu Wochenbeginn vor.
Zertifikate laufen ab, Alternativnamen (SANs) müssen aktualisiert werden, und allgemeine Bezeichnungen in Ihren Zertifikaten können sich ändern. All das bedeutet, dass Sie ein neues Zertifikat hochladen müssen, um Ihren Traffic weiterhin abzusichern. Aber egal, ob das TLS Support Team dies für Sie erledigt oder Sie es selbst tun, planen Sie für Ihre Änderungen ausreichend Zeit ein. Wenn Sie bis Freitag warten, um die Änderungen live zu schalten, laufen Sie Gefahr, dass sich nur ein Notfallteam um eventuell auftretende Probleme kümmern kann. Nehmen Sie die Änderungen stattdessen am Anfang der Woche vor, wenn das gesamte Team für Sie da sein kann.
4. Machen Sie sich mit Ihrer TLS-Nutzeroberfläche vertraut.
Machen Sie sich mit dem Produkt vertraut. Wir bieten eine umfangreiche Dokumentation zu unseren TLS-Angeboten, aber wir sind auch stolz auf die nutzerfreundliche Oberfläche von Fastly TLS. Wenn Sie sich mit der Nutzeroberfläche beschäftigen und einige Schlüsselbegriffe lernen, können Sie den DNS- und TLS-Prozess optimieren.
Hier zwei Schlüsselbegriffe, die für die Nutzeroberfläche von Fastly TLS wichtig sind:
Fastly Certificate ID: Hierbei handelt es sich um eine Kombination aus eindeutigen Zahlen und Buchstaben, über die sich Ihr Zertifikat identifizieren lässt. Außerdem trägt diese ID dazu bei, Verwechslungen zu vermeiden, die entstehen könnten, wenn man auf die allgemeine Bezeichnung des Zertifikats oder die Liste der im Zertifikat enthaltenen SANs verweist.
TLS-Konfiguration: Die Art der Daten, die Sie hier finden, beziehen sich alle auf Ihren CNAME, Ihre Anycast Records, Protokolle und TLS-Versionen. Wenn Sie der TLS-Konfiguration einen eindeutigen Namen geben und in Ihrer Anfrage darauf verweisen, ist gewährleistet, dass wir die Konfiguration gleich identifizieren können, wenn Sie sofortige Hilfe von unserem Team benötigen.
5. Informieren Sie das richtige Team.
Hier ein Hack speziell für Fastly: Wenn Sie Ihre Frage an support@fastly.com senden, fügen Sie einen kurzen Satz hinzu, damit das Problem dem TLS Support Team gemeldet wird. Auf diese Weise kann unser Spezialistenteam sich mit Ihrem Problem befassen, sobald Sie die Anfrage abgeschickt haben.
Wenn Sie diese Best Practices befolgen, können Sie Ihre TLS-Konfigurationen optimieren. Noch kein Fastly TLS-Kunde? Weitere Informationen zu unseren Sicherheitsangeboten und unseren TLS-Produkten finden Sie unter Fastly Sicherheitsdokumentation.