ကျွန်တော်က www.microsoft.com ဆိုတဲ့ website လေးကိုအရင်ဆုံးစစ်ဆေးကြည့်ပါမယ်
ကျွန်တော်တို့ testing result က Grade B ဖြစ်ပါတယ်.....Grade B ဆိုတာကဘာလဲ...အဲဒီ Grade တွေဟာ ဘာကိုအခြေခံပြီးသတ်မှတ်တာလဲဆိုတော့.....အောက်ကအချက် ၈ ချက်နဲ့ သတ်မှတ်ပါတယ်
- Website မှာ အသုံးပြုထားတဲ့ certificate ဟာ valid (သို့) trusted ဖြစ်/မ ဖြစ်စစ်ပါတယ
- Server configuration တွေကို အောက်က categories ၃ ခုနဲ့စစ်ဆေးပါတယ်
- Protocol support
- Key exchange support
- Cipher support
- category scores တွေကို overall score (expressed as a number between 0 and 100)အဖြစ်ပြောင်းပါတယ်..တကယ်လို့တစ်ခုခုမှာ zero ဖြစ်နေရင် overall score ကိုလည်း zero အဖြစ်ပြောင်းပါမယ်.. အဲဒီနောက်တော့ letter တစ်ခုကိုထုတ်ပြီး letter grade တစ်ခုအနေနဲ့ ပြပါတယ်
- A series of rules ကိုသုံးပြီး server configuration ထုတ်တာဖြစ်တဲ့အတွက် numerical scoring အနေနဲ့မထွက်ပါ.တစ်ချို့ rules တွေဟာ ( A-, B, C, D, E, or F) အဖြစ်လျော့ချလေ့ရှိပါတယ်(မလိုအပ်တာတွေပါရင်)..တကယ်လို့ပိုကောင်းတာတွေပါလာရင် (to A+)အဖြစ်တိုးပေးလေ့ရှိပါတယ်.
- စံသတ်မှတ်ထားတဲ့ A-F grades အတွင်းမှာမရှိတဲ့တစ်ချို့သော Grade တွေကိုတော့ M grade (certificate name mismatch) နဲ့ the T grade (site certificate is not trusted)ဆိုပြီးသတ်မှတ်ပါတယ်...အဲဒီ M grade တွေ...F grade တွေကတော့ security ပိုင်းအရလုံး၀လုံး၀ အသုံးမပြုသင့်တဲ့ grade တွေဖြစ်ပါတယ် ..
| Numerical Score | Grade |
|---|---|
| score >= 80 | A |
| score >= 65 | B |
| score >= 50 | C |
| score >= 35 | D |
| score >= 20 | E |
| score < 20 | F |
အဲဒီတော့ ကျွန်တော်တို့စစ်လိုက်တဲ့ Microsoft Website ကြီးက Grade B ဆိုတော့ score တွက်ချက်မှုအရ 65 ကျော်ကျော်ရတဲ့အတွက် Grading ကောင်းပါတယ်....
Certificate ပိုင်းအရ 100% ....Protocol Support 100% ... Key ExcShange - 65% နဲ့ Cipher Strength 85% ရထားတဲ့ Grade B အဆင့် Microsoft Website မှာ RSA 2048 bits ( SHA256-RSA) နဲ့ SSL/TLS 1.3 Version ကိုအသုံးပြုထားပါတယ်...အသုံးပြုထားတဲ့ Cipher တွေကတော့
TLS 1.3 ကိုအပြည့်အ၀ support ပေးထားလို့ စိမ်းနေပေမယ့် TLS 1.2 မှာတစ်ချို့ လောက်ကိုပဲ support FS ( Forward Secrecy) ပေးတယ်....တစ်ချို့ 128 နဲ့ 256 bit cipher တွေကို support FS မလုပ်ပါဘူး
အောက်က devices အမျိုးအစားနဲ့ web browser တွေမှာ Forward Secrecy ကို TLS 1.2 (or) 1.3 နဲ့ handshake session လုပ်ပေးပါတယ်
Protocol Details အနေနဲ့
ဆိုတော့ SSL vulnerable တွေဖြစ်တဲ့ RC4 vunlerable တို့ ...Heartbleed တို့ Heartbeat တို့ ...Ticketbleed တို့ ...OpenSSL Vulnerable ( CVE-2014-0244) တို့ OpenSSL Padding Oracle Vuln ( CVE-2016-2107) တို့ကို patched လုပ်ထားပြီးသား (vulnerable - no) ဆိုတာကိုတွေ့နိုင်ပါတယ်
Robot attack vulnerable ကို patched လုပ်ပြီးသား....Public Key Pinning Vulnerable ကိုလည်း patched လုပ်ပြီးသားပါ... Forward Secrecy ကိုတော့ web browser တစ်ချို့မှာပဲ support လုပ်ပေးပါတယ်....ကျန်တဲ့ patched လုပ်ထားပြီးသာ vulnerable fix တွေကိုလည်းတွေ့နိုင်ပါတယ်....
Certificate Detail ကိုတစ်ချက်ကြည့်ရအောင်
ဒါဆိုရင် ကျွန်တော်တို့ဟာ SSL/TLS သုံးထားတဲ့ Website တွေရဲ့ security features တွေအကြောင်းကို grade တွေနဲ့ ရော.... Vulnerable တွေကို Patched ( fixed ) လုပ်ထားမထား....Web Certificate နဲ့ပတ်သက်ပြီး သိသင့် သိထိုက်တာတွေအကုန်လုံးကို တစ်စုတစည်းထဲသိနိုင်ပြီးဖြစ်ပါတယ်....
အားလုံးပဲပညာဗဟုသုတကြွယ်၀တိုးတက်ကြပါစေ....
လေးစားစွာဖြင့်
Phyo Sithu
B.Sc ( Physics)
Diploma in IT
Cisco Certified Network Administrator ( CCNA )
Red Hat Certified System Administrator ( RHCSA)
Zyxel Certified Network Professional ( ZCNP)
Engenius Network Associate (ENA- Engenius)
Fortigate NSE Network Administrator ( Fortigate Network)
Qualys Certified Professional ( Web & Container Security)
No comments:
Post a Comment