Listeners - SSL

Descripción

Cada listener SSL requiere una clave privada SSL y un certificado SSL emparejados. Varios listeners SSL pueden compartir la misma clave y certificado.

Puede generar claves privadas SSL usted mismo usando un paquete de software SSL, como OpenSSL. Los certificados SSL tambien pueden comprarse a una entidad emisora de certificados autorizada como VeriSign o Thawte. Tambien puede firmar el certificado usted mismo. Los certificados autofirmados no seran considerados confiables por los navegadores web y no deben usarse en sitios web publicos que contengan datos criticos. Sin embargo, un certificado autofirmado es suficiente para uso interno, por ejemplo para cifrar el trafico hacia la consola WebAdmin de LiteSpeed Web Server.

Descripción

El nombre de archivo de la clave privada SSL. El archivo de clave no debe estar cifrado.

Sintaxis

Nombre de archivo que puede ser una ruta absoluta o una ruta relativa a $SERVER_ROOT.

Consejos

Security El archivo de clave privada debe colocarse en un directorio seguro que permita acceso de solo lectura al usuario con el que se ejecuta el servidor.

Descripción

El nombre de archivo del certificado SSL.

Sintaxis

Nombre de archivo que puede ser una ruta absoluta o una ruta relativa a $SERVER_ROOT.

Consejos

Security El archivo de certificado debe colocarse en un directorio seguro que permita acceso de solo lectura al usuario con el que se ejecuta el servidor.

Descripción

Especifica si el certificado es o no un certificado encadenado. El archivo que almacena una cadena de certificados debe estar en formato PEM, y los certificados deben estar en orden encadenado, desde el nivel mas bajo (el certificado real del cliente o servidor) hasta la CA de nivel mas alto (raiz).

Sintaxis

Seleccionar desde botones de opción

Descripción

Especifica el directorio donde se guardan los certificados de las autoridades de certificacion (CA). Estos certificados se usan para autenticacion de certificados de cliente y para construir la cadena de certificados del servidor, que se enviara a los navegadores ademas del certificado del servidor.

Sintaxis

ruta

Descripción

Especifica el archivo que contiene todos los certificados de autoridades de certificacion (CA) para certificados encadenados. Este archivo es simplemente la concatenacion de archivos de certificado codificados en PEM, en orden de preferencia. Puede usarse como alternativa o ademas de Ruta de certificados CA. Estos certificados se usan para autenticacion de certificados de cliente y para construir la cadena de certificados del servidor, que se enviara a los navegadores ademas del certificado del servidor.

Sintaxis

Nombre de archivo que puede ser una ruta absoluta o una ruta relativa a $SERVER_ROOT.

Descripción

Seleccion de protocolos SSL aceptados por el listener.

Las opciones incluyen: SSL v3.0, TLS v1.0, TLS v1.1, TLS v1.2, TLS v1.3.

Sintaxis

Seleccionar mediante casillas

Descripción

Especifica la suite de cifrados que se usara al negociar el handshake SSL. LSWS admite suites de cifrado implementadas en SSL v3.0, TLS v1.0, TLS v1.2 y TLS v1.3.

Sintaxis

Cadena de especificaciones de cifrado separadas por dos puntos.

Ejemplo

Consejos

Security Recomendamos dejar este campo en blanco para usar nuestro cifrado predeterminado, que sigue las mejores practicas de cifrado SSL.

Descripción

Permite usar intercambio de claves Elliptic Curve Diffie-Hellman para cifrado SSL adicional.

Sintaxis

Seleccionar desde botones de opción

Consejos

Security El intercambio de claves ECDH es mas seguro que usar solo una clave RSA. Los intercambios de claves ECDH y DH son igualmente seguros.

Performance Habilitar el intercambio de claves ECDH aumentara la carga de CPU y es mas lento que usar solo una clave RSA.

Descripción

Permite usar intercambio de claves Diffie-Hellman para cifrado SSL adicional.

Sintaxis

Seleccionar desde botones de opción

Consejos

Security El intercambio de claves DH es mas seguro que usar solo una clave RSA. Los intercambios de claves ECDH y DH son igualmente seguros.

Performance Habilitar el intercambio de claves DH aumentara la carga de CPU y es mas lento que el intercambio ECDH y RSA. Se prefiere ECDH cuando esta disponible.

Descripción

Especifica la ubicacion del archivo de parametros Diffie-Hellman necesario para el intercambio de claves DH.

Sintaxis

Nombre de archivo que puede ser una ruta absoluta o una ruta relativa a $SERVER_ROOT.

Descripción

Especifica si se debe habilitar la Proteccion contra renegociacion SSL para defenderse de ataques basados en handshake SSL. El valor predeterminado es "Yes".

Sintaxis

Seleccionar desde botones de opción

Consejos

Information Esta opcion puede habilitarse en los niveles de listener y virtual host.

Descripción

Habilita la caché de ID de sesión usando el ajuste predeterminado de OpenSSL. El ajuste de nivel de servidor debe estar en "Yes" para que el ajuste de Virtual Host tenga efecto.

Valores predeterminados:
Nivel de servidor: Yes
Nivel de VH: Yes

Sintaxis

Seleccionar desde botones de opción

Descripción

Habilita tickets de sesión usando el ajuste predeterminado de tickets de sesión de OpenSSL. El ajuste de nivel de servidor debe estar en "Yes" para que el ajuste de Virtual Host tenga efecto.

Valores predeterminados:
Nivel de servidor: Yes
Nivel de VH: Yes

Sintaxis

Seleccionar desde botones de opción

Descripción

Application-Layer Protocol Negotiation(ALPN) se usa para habilitar selectivamente los protocolos de red HTTP/3 y HTTP/2.

Si desea deshabilitar HTTP/2 y HTTP3, marque None y deje todas las demas casillas sin marcar.

Valor predeterminado: todos habilitados

Sintaxis

Seleccionar mediante casillas

Consejos

Information Puede establecerse en los niveles de listener y virtual host.

Descripción

Permite el uso del protocolo de red HTTP3/QUIC para los virtual hosts asignados a este listener. Para que esta opcion tenga efecto, Habilitar HTTP3/QUIC tambien debe establecerse en Yes a nivel de servidor. El valor predeterminado es Yes.

Consejos

Information Cuando esta opcion se establece en Yes, HTTP3/QUIC aun puede deshabilitarse en el nivel de virtual host mediante la opcion Habilitar HTTP3/QUIC.

Descripción

Online Certificate Status Protocol (OCSP) es un metodo mas eficiente para comprobar si un certificado digital es valido. Funciona comunicandose con otro servidor, el OCSP responder, para obtener la verificacion de que el certificado es valido en lugar de comprobar listas de revocacion de certificados (CRL).

OCSP stapling es una mejora adicional de este protocolo, que permite al servidor consultar al OCSP responder a intervalos regulares en lugar de hacerlo cada vez que se solicita un certificado. Consulte la pagina de Wikipedia sobre OCSP para mas detalles.

Descripción

Determina si se debe habilitar OCSP stapling, una forma mas eficiente de verificar certificados de clave publica.

Sintaxis

Seleccionar desde botones de opción

Descripción

Esta opcion establece la edad maxima permitida para una respuesta OCSP. Si una respuesta OCSP es mas antigua que esta edad maxima, el servidor contactara al OCSP responder para obtener una nueva respuesta. El valor predeterminado es 86400. La edad maxima puede desactivarse estableciendo este valor en -1.

Sintaxis

Entero de segundos

Descripción

Especifica la URL del OCSP responder que se usara. Si no se establece, el servidor intentara contactar al OCSP responder detallado en el certificado emisor de la autoridad de certificacion. Algunos certificados emisores pueden no tener especificada una URL de OCSP responder.

Sintaxis

URL que empieza con http://

Ejemplo

Descripción

Especifica la ubicacion del archivo donde se almacenan los certificados de autoridad de certificacion (CA) de OCSP. Estos certificados se usan para comprobar las respuestas del OCSP responder (y asegurarse de que esas respuestas no sean falsificadas ni comprometidas de otra forma). Este archivo debe contener toda la cadena de certificados. Si este archivo no contiene el certificado raiz, LSWS deberia poder encontrar el certificado raiz en el directorio del sistema sin que usted lo agregue al archivo; pero, si esta validacion falla, debe intentar agregar su certificado raiz a este archivo.

Esta opcion es opcional. Si no se establece, el servidor comprobara automaticamente Archivo de certificados CA.

Sintaxis

Nombre de archivo que puede ser una ruta absoluta o una ruta relativa a $SERVER_ROOT.

Descripción

Especifica el tipo de autenticacion de certificado de cliente. Los tipos disponibles son:

• None: no se requiere certificado de cliente.
• Optional: el certificado de cliente es opcional.
• Require: el cliente debe tener un certificado valido.
• Optional_no_ca: igual que optional.

Sintaxis

Seleccionar de la lista desplegable

Consejos

Information "None" o "Require" son recomendados.

Descripción

Especifica que tan profundamente debe verificarse un certificado antes de determinar que el cliente no tiene un certificado valido. El valor predeterminado es "1".

Sintaxis

Seleccionar de la lista desplegable

Descripción

Especifica el directorio que contiene archivos CRL de CA codificados en PEM para certificados de cliente revocados. Los archivos de este directorio deben estar codificados en PEM. Se accede a estos archivos mediante nombres de archivo hash, hash-value.rN. Consulte la documentacion de openSSL o Apache mod_ssl sobre la creacion del nombre de archivo hash.

Sintaxis

ruta

Descripción

Especifica el archivo que contiene archivos CRL de CA codificados en PEM que enumeran certificados de cliente revocados. Puede usarse como alternativa o ademas de Ruta de revocacion de cliente.

Sintaxis

Nombre de archivo que puede ser una ruta absoluta o una ruta relativa a $SERVER_ROOT.