Mozilla का SSL Configuration Generator

 (ssl-config.mozilla.org)
2 पॉइंट द्वारा GN⁺ 2025-11-16 | 1 टिप्पणियां | WhatsApp पर शेयर करें
  • विभिन्न server software के लिए SSL/TLS सेटिंग्स को अपने-आप जनरेट करने वाला टूल
  • Apache, nginx, HAProxy, Tomcat आदि 20 से अधिक server environments को सपोर्ट करता है
  • Modern, Intermediate, Old ये तीन Mozilla configuration profiles देता है, जिससे security level और compatibility के बीच चुनाव किया जा सकता है
  • OpenSSL version और server version दर्ज करके कस्टम सेटिंग्स जनरेट की जा सकती हैं, HTTPS redirect option भी शामिल है
  • Mozilla की security guidelines से जुड़ा यह एक उपयोगी टूल है, जो सुरक्षित server configuration को आसानी से लागू करने में मदद करता है

अवलोकन

  • Mozilla SSL Configuration Generator एक web-based टूल है, जो server administrators को सुरक्षित SSL/TLS configuration आसानी से बनाने में मदद करता है
  • Mozilla की security policies और TLS recommended settings के आधार पर, यह हर server environment के लिए उपयुक्त configuration scripts अपने-आप जनरेट करता है

समर्थित server software

  • समर्थित विकल्पों में Apache, AWS ALB/ELB, Caddy, Coturn, Dovecot, Exim, Go, HAProxy, Jetty, lighttpd, MySQL, nginx, Oracle HTTP, Postfix, PostgreSQL, ProFTPD, Redis, Squid, stunnel, Tomcat, Traefik आदि शामिल हैं
  • हर server के लिए optimized SSL configuration templates उपलब्ध कराए जाते हैं

Mozilla configuration profiles

  • Modern: TLS 1.3 को सपोर्ट करता है, और उन आधुनिक सेवाओं के लिए है जहाँ backward compatibility की जरूरत नहीं होती
  • Intermediate: अलग-अलग clients के साथ compatibility को ध्यान में रखकर सामान्य servers के लिए बनाया गया है, और अधिकांश systems के लिए recommended है
  • Old: केवल तब उपयोग करें जब बहुत पुराने clients के साथ compatibility बनाए रखना जरूरी हो

configuration options

  • Server Version और OpenSSL Version दर्ज करके अपने environment के अनुसार सेटिंग्स जनरेट की जा सकती हैं
  • इसमें HTTPS redirect feature शामिल है, और JavaScript activation की आवश्यकता होती है

संदर्भ और resources

संबंधित पढ़ाई

1 टिप्पणियां

 
GN⁺ 2025-11-16
Hacker News राय

  • इसी तरह के संदर्भ में, SecurityHeaders जैसे टूल हैं जो वेबसाइट के security headers को scan कर सकते हैं, SSL Labs Test जो TLS configuration को validate करता है, और testssl.sh जिससे कमांड लाइन से साइट को scan किया जा सकता है
    इंटरनेट तक पहुँच न होने वाले environment में या automated HTML report बनाने के समय ये उपयोगी हैं

    • मुझे internal network में scan करना था, लेकिन testssl.sh बहुत धीमा था, इसलिए मैंने अपना बनाया हुआ scanner hello_tls इस्तेमाल किया
      parallelization और options disable करने के बाद भी कम-से-कम 20 सेकंड लगते थे, लेकिन नया टूल 60~100 गुना तेज़ है
      इसमें vulnerability analysis नहीं है, लेकिन उद्देश्य configuration extraction था
    • लेकिन मैं security headers साइट से सहमत नहीं हूँ
      हर header का काम अलग होता है, और साइट के उद्देश्य के अनुसार ऐसे मामले भी होते हैं जहाँ उन्हें लागू नहीं करना चाहिए
      उदाहरण के लिए, CSP header मौजूद होने पर भी कई बार वह व्यावहारिक रूप से बेअर्थ तरीके से सेट किया गया होता है

  • समझ नहीं आता कि अब भी “SSL” शब्द क्यों इस्तेमाल होता है
    ऐसा लगता है जैसे पिछले 10 साल की तकनीकी प्रगति को भुला दिया गया हो

    • मैं भी “TLS” कहता हूँ, लेकिन यह आसान नहीं है
      अगर ग्राहक से कहो कि TLS certificate सेट करना है, तो कई बार वे चिंता करते हैं कि “हमें SSL चाहिए”
      आखिरकार यह awareness की समस्या है। आम यूज़र TLS को नहीं जानते, और कंपनियाँ भ्रम से बचने के लिए SSL शब्द का इस्तेमाल जारी रखती हैं
      Cloudflare का SSL पेज भी path में SSL रखता है, लेकिन सामग्री TLS-केंद्रित है, इसलिए भ्रम होता है
    • SSL को 90 के दशक में Netscape ने विकसित किया था, और बाद में वही TLS में विकसित हुआ
      Netscape Navigator से Mozilla तक की कड़ी होने की वजह से यह भी समझ आता है कि Mozilla अब भी SSL शब्द का ज़्यादा उपयोग करता है
    • पिछले 10 साल की तकनीक ने फूला हुआ और जटिल कोड पैदा किया है
      अभी मौजूद 75% software गायब हो जाए तो शायद दुनिया और बेहतर हो
    • पहले SSL जैसी कोई चीज़ नहीं थी, और जब यह पहली बार आया तो यह महँगी और नई तरह की तकनीक थी
      बाद में यह encrypted HTTP का सामान्य नाम बन गया, और protocol का नाम TLS हो जाने के बाद भी इसे SSL ही कहा जाता रहा
    • मैं अब भी अक्सर SSL ही कहता हूँ

  • cipher settings को application developers या operators पर नहीं छोड़ना चाहिए
    Go ब्लॉग का TLS Cipher Suites लेख देखने लायक है
    Mozilla SSL Configuration Generator बेहतरीन है, लेकिन सच तो यह है कि ऐसा टूल होना ही नहीं चाहिए

    • cipher settings की maintenance cost बहुत ज़्यादा होती है, और समय के साथ वे धीरे-धीरे कम प्रभावी होती जाती हैं
      OpenSSL जैसी libraries में पहले से cipher preset थे, इसलिए यह अजीब है कि generator ने उसी को विस्तार नहीं दिया
      उदाहरण के लिए, “HIGH:!kRSA:!kEDH:!SHA1:!CAMELLIA:!ARIA” जैसी combination से सुरक्षा बनाए रखते हुए भी आधुनिक algorithms इस्तेमाल किए जा सकते हैं
      ऐसी settings ECC keys या ChaCha20 जैसी मज़बूत cipher suites को गलती से disable होने से बचाती हैं
      कुछ servers का EdDSA या post-quantum hybrid algorithms को support न कर पाना भी इसी वजह से होता है

  • आजकल OCSP stapling को शामिल करना विडंबनापूर्ण लगता है
    क्योंकि browsers और Let's Encrypt, दोनों ही OCSP को व्यावहारिक रूप से पहले ही छोड़ चुके हैं

  • Mozilla SSH configuration guide भी देता है
    OpenSSH security guidelines देखी जा सकती हैं

  • अच्छा होता अगर server developers को सिर्फ year या security level (secure, medium, loose) बताना पड़ता और एक turnkey configuration मिल जाती
    SSL cipher चुनना लगभग cargo cult जैसा है, इसलिए समझ नहीं आता कि क्या किया जा रहा है

  • मुझे यह जानने की जिज्ञासा थी कि SSLHonorCipherOrder को Off सेट करने की सिफारिश क्यों की जाती है

    • nginx भी इसी वजह से Off की सिफारिश करता है
      Modern और Intermediate स्तर के cipher सभी सुरक्षित हैं, इसलिए client को अपने hardware के हिसाब से cipher चुनने देना अधिक प्रभावी है
      इससे जुड़ी बात issue comment और Mozilla wiki में संक्षेपित है

  • यह खलता है कि configuration generator में mTLS (mutual TLS) option नहीं है
    जहाँ client certificates की ज़रूरत होती है, वहाँ यह बहुत उपयोगी होता, लेकिन शायद यह बहुत niche feature होने के कारण छूट गया

    • यह टूल web server की शुरुआती communication settings पर केंद्रित है, इसलिए authentication mechanism इसकी scope के बाहर है
    • client certificates संभालने के लिए CA setup जैसे advanced knowledge की ज़रूरत होती है, इसलिए यह निश्चित रूप से सीमित क्षेत्र है

  • “AWS ELB” entry शायद Classic Load Balancer को दर्शाती है
    अब “AWS ALB” का मतलब Application Load Balancer होता है, इसलिए terminology भ्रमित करती है

    • शायद यह configuration ALB आने से पहले की है, इसलिए इसमें ज़्यादा updates नहीं हुए लगते

  • OpenSSL configuration के लिए भी ऐसा ही कोई टूल अच्छा होगा