Van een 5,6 naar een 8; hoe we jouw veiligheid hebben verbeterd

In deze moderne tijd is het veilig houden van data belangrijker dan ooit. Ook als webhostingbedrijf willen we de veiligheid kunnen garanderen. Afgelopen jaar hebben we al eens een blog geschreven over de veiligheidsscan die we hebben laten uitvoeren. Dat kun je hier nog eens nalezen. Kort samengevat: een extern bedrijf heeft een veiligheidsscan op onze servers uitgevoerd zodat wij weten waar we nog op kunnen verbeteren om de veiligheid goed op orde te houden. Afgelopen week is de tweede scan gedaan, waar we nu het resultaat van hebben.

Na de eerste scan kregen we met een 5,6 een magere voldoende van het bedrijf. Er waren dus wel wat dingen die beter konden. Hier zijn we dan ook mee aan de slag gegaan de afgelopen periode. Wellicht dat je er iets van meegekregen hebt.

Maatregelen

We hebben uiteindelijk een aantal maatregelen getroffen om de veiligheid op onze servers te verbeteren en het cijfer op te krikken. De meest ingrijpende maatregel hebben we begin december uitgevoerd; sindsdien kun je alleen nog maar inloggen op je e-mail met een SSL verbinding, en moet die SSL verbinding minimaal versleuteld zijn met TLS versie 1.2. Dat betekende voor een flink aantal klanten dat er wat instellingen en vinkjes in het e-mailprogramma aangepast moesten worden, en dat er updates uitgevoerd moesten worden om die verbinding mogelijk te maken.

Naast deze maatregel hebben we ook verbeteringen doorgevoerd die eigenlijk geen zichtbare grote impact hadden. Voor de techneut: een aantal onveilige/verouderde SSL Cipher suites (SWEET32) en CBC mode ciphers werden nog ondersteund maar zijn inmiddels uitgeschakeld.

Resultaat

Afgelopen week zijn we na deze maatregelen en acties weer gescand. Het tweede resultaat mag er zijn; een mooie 8! Daarmee zijn we dus van een 5,6 naar een 8 gegaan, en daar zijn we best wel een beetje trots op.

Waarom geen 10?

Een logische vraag is ook: waarom geen 10? Een 10 halen was zeker niet onmogelijk geweest, maar is toch erg lastig. Er zijn 2 punten waardoor we geen 10 hebben gekregen;

  • OpenSSH versie; De scan heeft een oudere OpenSSH versie ontdekt, waarin een lek zou zitten. cPanel heeft gelukkig het betreffende lek voor die versie bijgewerkt, dus dit is niet van toepassing voor ons.
  • HSTS; Een ander puntje was dat HSTS niet verplicht is. Dit is namelijk technisch erg lastig te verplichten voor alle hostingpakketten, en het is ook onhandig voor oudere websites of websites die nog in ontwikkeling zijn. Je kunt wel zelf voor jouw website HSTS instellen wat we je ook zeker aanraden, vooral als je persoonsgegevens verwerkt. Meer over HSTS en hoe je het in kunt stellen, lees je hier.