Tag: security

Eigen SSL-certificaat gebruiken

Inleiding

Secure Webhosting voorziet websites (applicaties) standaard van een Let’s Encrypt SSL-certificaat.

Als u een SSL-certificaat wilt gebruiken dat is uitgegeven door een andere Certification Authority (CA), dan is dat mogelijk. Aan een dergelijk certificaat zijn doorgaans kosten verbonden; dit is aan u en de CA, zonder tussenkomst van Acknowledge / Secure Webhosting. 

In dit artikel leggen wij uit hoe u dit certificaat bij ons kunt aanleveren zodat wij dit voor u kunnen plaatsen.

Uw eigen SSL-certificaat aanleveren

Voer het volgende stappenplan uit:

  1. Dien een wijzigingsverzoek in bij Secure Webhosting en specificeer daarin de volgende informatie:

    1. Common Name (CN) (bijvoorbeeld *.example.com www.example.com mail.example.com) en SAN’s (Subject Alternate Names)

      De CN is de zogenoemde fully qualified domain name (FQDN) van de webapplicatie.

      Als u wilt dat het certificaat geldig is voor alle subdomeinen, dan moet u bij de CN een wildcard gebruiken (*.example.com).

      Als u wilt dat het certificaat alleen geldig is voor www.example.com, dan vult u dit in bij de CN. U kunt dan expliciet extra subdomeinen opgeven in de vorm van Subject Alternate Names (SAN’s). Bijvoorbeeld: example.com (zonder www), zodat een doorverwijzing van example.com naar www.example.com zonder beveiligingsproblemen verloopt. Controleer dit bij de organisatie die uw certificaat uitgeeft (de Certification Authority) en overleg zo nodig met Secure Webhosting.

    2. Organization (O)

      De officiële naam van uw organisatie. Gebruik geen afkortingen en vermeld de rechtspersoon (B.V. et cetera)

    3. Organizational Unit (OU)

      De business unit in uw organisatie die het certificaat aanvraagt.

    4. City/Locality (L)

      De officiële vestigingsplaats van uw organisatie.

    5. State/County/Region (S)

      In Nederland vertaalt dit zich naar de provincie waarin 

    6. Country (C)
      De tweeletterige landcode die hoort bij de vestigingsplaats van uw organisatie.

    7. Email Address
      Het e-mailadres om contact op te nemen met uw organisatie.

  2. Secure Webhosting genereert een keypair.
  3. Vanuit dit keypair genereert Secure Webhosting een CSR (Certificate Signing Request). Dit is een lange reeks karakters die als invoer dient voor het maken van een certificaat.
  4. Dit CSR wordt aan u overhandigd.
  5. U levert dit CSR aan bij uw CA (Certification Authority).
  6. Uw CA zorgt voor de digitale ondertekening van het CSR. Hieruit ontstaat het SSL-certificaat.
  7. U ontvangt het SSL-certificaat van uw CA.
  8. U stuurt het SSL-certificaat door naar Secure Webhosting.
  9. Secure Webhosting verifieert het certificaat. Dit gebeurt door te onderzoeken of de CA die het certificaat heeft ondertekend, valide is. Dit kan gedaan worden doordat wij het certificaat van deze CA kunnen opvragen of lokaal hebben staan.
  10. Secure Webhosting installeert het certificaat.
  11. Ons monitoringsysteem bewaakt de geldigheidsduur van alle certificaten. Indien uw certificaat het einde van de geldigheidstermijn nadert, krijgt u van ons een waarschuwing. U moet dan de stappen opnieuw doorlopen voor het maken van van een nieuw certificaat.

Restricted paths

In de profielen die we binnen Secure Webhosting gebruiken, is er per profiel een lijst aan Restricted paths opgesteld. Dit zijn URL’s met een toegangsbeperking om de veiligheid te verhogen. Toegang tot die URL’s wordt vanuit Secure Webhosting ingesteld op basis van een gebruiker.

U kunt hierbij denken aan bijvoorbeeld een URL voor het inloggen op de beheeromgeving van een applicatie, zoals het WordPress CMS. 

Restricted paths per profiel

WordPress MultiSite
/info.php
/phpmyadmin
/wp-config.php
/wp-cron.php
/wp-login.php
/wp-settings.php
/xmlrpc.php

WordPress
/phpmyadmin
/info.php
/wp-admin
/wp-config.php
/wp-cron.php
/wp-json
/wp-login.php
/wp-settings.php
/xmlrpc.php

Magento 1.9
/admin
/phpinfo
/phpmyadmin

Magento 2
/info.php
/magento-admin
/phpmyadmin

PHP Algemeen
/phpmyadmin

Laravel
/phpmyadmin

Intrusion Detection System

Op het Secure Webhosting platform is een systeem geïnstalleerd dat afwijkend gedrag detecteert dat kan duiden op een inbraak(poging.

Relevante gebeurtenissen worden doorgegeven aan het SIEM en kunnen vanuit dat systeem leiden notificaties naar beheerders.

Security Incident & Event Management (SIEM)

Op dit moment wordt het SIEM van Secure Webhosting met name ingezet voor logging. 

De Deploy interface haalt logbestanden op uit het SIEM. Via de Deploy interface kunt u deze logbestanden inzien. 

Het gaat om logbestanden van de applicatie en logbestanden van de server. Bij dat laatste kunt u denken aan bijvoorbeeld een access log, error log of authentication log. Met deze logbestanden kunt u activiteiten en fouten binnen uw applicatie onderzoeken.

Op dit moment zijn wij binnen Secure Webhosting druk met het uitbreiden van de functionaliteiten die onder het SIEM vallen. Dit zodat u met onze tool uw gehele omgeving kunt monitoren op het gebied van veiligheid, stabiliteit en prestaties.

Antivirus / malware scanning

Bestanden op de omgeving van Secure Webhosting worden dagelijks  (iedere nacht) gescand op de aanwezigheid van virussen en malware: per project, per omgeving.

Verdachte bestanden worden in quarantaine geplaatst om schade aan een applicatie te voorkomen. Bestanden die in quarantaine zijn geplaatst kunnen in overleg hersteld worden.

De resultaten worden terugkoppeld via SIEM en kunnen vanuit dat systeem leiden tot notificaties naar het beheerteam van Secure Webhosting. 

Via de gebruikersinterface van Secure Webhosting kunnen er rapportages gedownload worden die de resultaten van een scan weergeven in een PDF. 

Software altijd up-to-date

Eens per 100 dagen worden alle (virtuele) machines door Secure Webhosting opnieuw deployed. Hierbij worden de nieuwste versies van alle onderdelen geïnstalleerd. De machines worden volledig opnieuw opgebouwd zonder downtime en verlies van data.

Hiermee minimaliseren we kwetsbaarheden en zorgen we aan de voor optimale performance van de machines.

SSL Certificaten

U wilt natuurlijk dat uw applicatie via HTTPS bereikbaar is en blijft. Wanneer u uw applicatie(s) bij Secure Webhosting onderbrengt, installeren wij zonder kosten een Let’s Encrypt certificaat.

Het is ook mogelijk om uw eigen certificaat aan te leveren, welke wij voor u kunnen installeren. Meer informatie over het aanleveren van uw eigen certificaat kunt u vinden in het artikel ‘Eigen SSL-certificaat gebruiken‘.

Welke versies van TLS ondersteund Secure Webhosting?

Secure webhosting ondersteund onderstaande versies van TLS:

  • TLS 1.2
  • TLS 1.3

VPN-access

Voor klanten maken wij gebruik van OpenVPN. 

Een VPN-verbinding (Virtual Private Network) verschaft een gebruiker een beveiligde en anonieme toegang tot ons netwerk. Hiermee wordt de verbinding veiliger gemaakt. Door gebruik te maken van OpenVPN worden uw gegevens online beschermd.

De configuratie van OpenVPN wordt door Secure Webhosting gemaakt. Wij kunnen op basis van de configuratie(s) gebruikers al dan niet toegang geven tot onze omgeving(en). 

Gebruik van OpenVPN geeft enkel toegang tot de website/applicatie. Geen SSH/FTP toegang (bijvoorbeeld).

Hoe u OpenVPN installeert op uw persoonlijke computer kunt u lezen in deze handleiding op de kennisbank van Secure Webhosting.