Serwer klubowy SP5PBE - prace

W marcu 2018 roku przeprowadzone zostały prace związane z instalacją certyfikatu SSL/TLS AlphaSSL. Natomiast w kwietniu 2018 r. był uaktualniany system (The current release is OpenBSD 6.3, released Apr 15, 2018). Wystapił niezwykle rzadki niekorzystny przypadek "wadliwej biblioteki/portu". Spowodowało to nieoczekiwaną i opóźnioną awarię serwera stron www. Stan awarii serwera www był w praktyce niereplikowalny, pomimo posiadania do dyspozycji drugiego serwera - repliki serwera klubowego. Prace nad lokalizacją przyczyny prowadzone były w okresie: 26.04-3.05.2018 r. 3 maja 2018 odzyskano pełną funkcjonalność serwera.

Przy okazji prac uruchomiono eksperymentalnie zainstalowany wcześciej serwer NGINX. Serwer był częściowo funkcjonalny, jednak wymagał dalszych prac konfiguracyjnych. Administratorzy (SP5DXM, SP5ELA, SQ5BPF) na obecnym etapie podjęli decyzję zaniechania dalszych prac nad tym systemem.

Serwer klubowy SP5PBE ma zoptymalizowaną konfigurację w zakresie obsługiwanych bezpiecznych protokołów komunikacyjnych. Zgodnie z zaleceniami jedynym w pełni bezpiecznym obsługiwanym protokołem jest TLS 1.2. Wszystkie potencjalnie niebezpieczne protokoły (TLS 1.0, TLS 1.1, SSL 3.0, SSL 2.0) są wyłączone. Eksperymentalny jeszcze TLS 1.3 nie jest obecnie zaimplementowany. Uzyskany dobry wypadkowy overall rating "A". Wadą obecnej konfiguracji serwera i implementacji jedynie protokołu TLS 1.2 jest niekompatybilność ze starszymi przeglądarkami obsługujacymi jedynie protokoły TLS 1.1, TLS 1.0, SSL 2 i SSL 3. To cena bezpieczeństwa instalacji.

Poniżej raport z systemu diagnostyki QUALSYS SSL LABS (https://www.ssllabs.com). Pełny raport (pdf).

Administratorzy

SP5DXM, SP5ELA, SQ5BPF

sp5pbe-ssl-test-7.05.2018