Får jeres domæne topkarakter?

Sikker på nettet

GoPublic følger og overholder de sikkerhedsretningslinjer, der fremgår af sikkerpånettet.dk.

Herunder kan du se, hvordan GoPublic overholder og følger sikkerhedsretningslinjerne.

Moderne IP-adresse (IPv6)

IPv6 (Internet Protocol version 6) er den nyeste version af internetprotokollen, som bruges til at identificere og adressere enheder på et netværk.

Den blev designet til at erstatte IPv4, fordi IPv4’s 32-bit adresseplads (ca. 4,3 mia. adresser) næsten er opbrugt.

De to typer af IP-adresser ser ud som følger:

IPv4: 23.88.5.125
IPv6: 2a01:4f8:272:3c81::2

Navneservere

En navneserver hjælper med at oversætte domænenavne (f.eks. gopublic.dk) til ip-adresser (f.eks. 23.88.5.125)

IPv6-adresser til navneserver

Jeres domænenavn skal have mindst to navneservere med en IPv6-adresse. Har domænet ikke det, skal I kontakte jeres it-afdeling, som skal sætte det op i jeres DNS.

IPv6-tilgængelighed for navneservere

Det er vigtigt, at den IPv6-adresse I har på jeres navneserver, også er tilgængelig og kan nås via IPv6. Hvis det ikke er tilfældet, er det jeres it-afdeling, der skal sørge for at rette det i jeres DNS.

Webserver

Webserveren er den server, der leverer websider til brugerne - enten via internettet eller et intranet.

Når der skrives en webadresse (f.eks. gopublic.dk) i en browser, er det webserveren, der sender indhold tilbage til computeren, så browseren kan vise websiden.

IPv6-adresser til webserver

Jeres webserver skal have mindst en AAAA-record tilføjet (IPv6-adresse). Har den ikke det, skal I kontakte jeres it-afdeling, som skal sætte det op i jeres DNS.

Webservers IPv6-tilgængelighed

Det er vigtigt, at den IPv6-adresse I har på jeres webserver, også er tilgængelig og kan nås via IPv6. Hvis det ikke er tilfældet, er det jeres it-afdeling, der skal sørge for at rette det i jeres DNS.

Ens websted på IPv6 og IPv4

Webstedet på IPv6-adressen skal være det samme som webstedet på IPv4-adressen. Hvis dette ikke er tilfældet, skal jeres it-afdeling lige tjekke, om jeres DNS er sat korrekt op.

Signeret domæne (DNSSEC)

DNSSEC (Domain Name System Security Extension) er en sikkerhedsstandard, der tilføjer kryptografisk signatur til DNS-opslag, så man kan sikre sig, at de svar, man får, ikke er blevet manipuleret undervejs.

DNSSEC status

Hvis jeres domæne ikke er DNSSEC-signeret, skal I kontakte jeres it-afdeling, som skal sætte dette op i jeres DNS.

For kunder med guld- og platinabonnement, vil det se ud som om, at domænet ikke er DNSSEC-sikret, hvilket er helt normalt, da I ligger bag Akamai. Det betyder ikke, at jeres site ikke er signeret, men blot at det ikke kan kontrolleres, på grund af øget sikkerhed.

DNSSEC-gyldighed

DNSSEC skal have en gyldig signatur og hvis jeres domæne ikke har det, skal I kontakte jeres it-afdeling, som er ansvarlige for at opsætte dette i jeres DNS.

Sikker forbindelse (HTTPS)

HTTP

HTTP står for 'HyperText Transfer Protocol' og er den grundlæggende protokol, som bruges til at overføre data mellem en webbrowser og en webserver.

HTTPS status

HTTPS står for 'HyperText Transfer Protocol Secure' og jeres website skal altid have HTTPS stående i starten af den url, der står i browseren (f.eks. https://www.gopublic.dk).

Ofte vil I få vist en besked, hvis der er fejl i, eller helt mangler, et certifikat. I dette tilfælde, skal I kontakte vores support (support@beru.zendesk.com), som vil sørge for at bringe orden i certifikatet.

HTTPS-omdirigering

Det er vigtigt, at jeres domæne omdirigeres til en krypteret forbindelse. Det vil sige, at hvis man skriver f.eks. http://www.gopublic.dk i browseren, så skal man omdirigeres til https://www.gopublic.dk.

Hvis dette ikke er tilfældet, skal I kontakte vores support (support@beru.zendesk.com), da vi så vil sørge for, at få rettet op på det.

HTTP-komprimering

HSTS

HSTS står for 'HTTP Strict Transport Security' og er en sikkerhedsmekanisme, der tvinger browsere til aldrig at forbinde til en hjemmeside via HTTP, men udelukkende via HTTPS.

Det er vigtigt, at dette tjekkes på eventuelle sub-domæner også.

TLS

TLS (Transport Layer Security) er en sikkerhedsprotokol, der krypterer data over internettet.

Hvad gør TLS?

Kryptering: Gør data ulæselige for uvedkommende under overførslen.
Autentifikation: Bekræfter, at du kommunikerer med den rigtige server og ikke en falsk side.
Integritet: Sikrer, at data ikke er blevet ændret undervejs.

TLS-version

På GoPublic (v6) understøttes TLS version 1.2 og 1.3.

Ciphers (Valg af algoritme)

Følgende ciphers understøttes:

ECDHE-ECDSA-AES256-GCM-SHA384 (TLS_AES_256_GCM_SHA384 in 1.3) [1.2]
ECDHE-ECDSA-CHACHA20-POLY1305 (TLS_CHACHA20_POLY1305_SHA256 in 1.3) [1.2]
ECDHE-ECDSA-AES128-GCM-SHA256 (TLS_AES_128_GCM_SHA256 in 1.3) [1.2]
ECDHE-RSA-AES256-GCM-SHA384 (TLS_AES_256_GCM_SHA384 in 1.3) [1.2]
ECDHE-RSA-CHACHA20-POLY1305 (TLS_CHACHA20_POLY1305_SHA256 in 1.3) [1.2]
ECDHE-RSA-AES128-GCM-SHA256 (TLS_AES_128_GCM_SHA256 in 1.3) [1.2]
ECDHE-ECDSA-AES256-SHA384
ECDHE-ECDSA-AES128-SHA256
ECDHE-RSA-AES256-SHA384
ECDHE-RSA-AES128-SHA256

Cipher-rækkefølge

Da GoPublic kun anvender ciphers med algoritmevalget 'Gode', er denne ikke anvendelig.

Parametre til nøgleudveksling

Følgende sikre parametre til nøgleudveksling understøttes:

secp384r1
secp256r1
x448
x25519

Hash-funktion til nøgleudveksling

Følgende hash-funktioner til nøgleudveksling understøttes:

SHA-512
SHA-384
SHA-256

TLS-komprimering

GoPublic understøtter ikke TLS-komprimering, hvilket øger sikkerheden på sitet.

Sikker genforhandling

GoPublic understøtter sikker genforhandling.

Ældre versioner af TLS (før TLS 1.3) giver mulighed for at tvinge et nyt håndtryk. Denne såkaldte genforhandling var usikker i sit oprindelige design. Standarden blev opdateret, og der blev tilføjet en sikrere genforhandlingsmekanisme.

Klientinitieret genforhandling

GoPublic tillader ikke klientinitieret genforhandling, hvilket er godt, da det øger sikkerheden.

Det er generelt ikke nødvendigt at tillade klienter at starte genforhandling og åbner en webserver for DoS-angreb inde i en TLS-forbindelse. En hacker kan udføre lignende DoS-angreb uden klientinitieret genforhandling ved at åbne mange parallelle TLS-forbindelser, men disse er lettere at opdage og forsvare sig mod ved hjælp af standardafbrydelser.

O-RTT

GoPublics webservere understøtter ikke O-RTT, hvilket er godt, da det øger sikkerheden.

0-RTT er en mulighed i TLS 1.3, der transporterer applikationsdata i løbet af den første meddelelse med håndtrykket. 0-RTT yder ikke beskyttelse mod gentagelsesangreb på TLS-laget og bør derfor deaktiveres. Selvom risikoen kan mindskes ved ikke at tillade 0-RTT for ikke-idempotente anmodninger, er en sådan konfiguration ofte ikke triviel, afhængig af applikationslogik og er derfor tilbøjelig for fejl.

OCSP-stapling

GoPublics web server supporterer ikke OCSP-stapling, hvilket dog stadig er tilstrækkeligt.

Certifikat

Tillidskæde af certifikat

Tillidskæden på certifikaterne, der udstedes til jeres domæner, er komplet og signeret af en betroet rodcertifikatmyndighed.

Offentlig certifikatnøgle

Følgende elliptiske kurver til ECDSA benyttes:

secp384r1
secp256r1
x448
x25519

RSA-nøglelængden er:

mindst 3072

Signatur af certifikat

Følgende Hash-funktioner benyttes til at bekræfte certifikatet:

SHA-512
SHA-384
SHA-256

Domænenavn på certifikat

Domænet passer med domænenavnet på websteds-certifikatet.

DANE

DANE status

GoPublic har ikke en signeret TLSA-record for DANE på webserveren.

DANE-gyldighed

Da der ikke findes en TLSA-record for DANE, er denne ikke relevant.