Generator Konfigurasi SSL Mozilla

 (ssl-config.mozilla.org)
2 poin oleh GN⁺ 2025-11-16 | 1 komentar | Bagikan ke WhatsApp
  • Alat untuk secara otomatis menghasilkan konfigurasi SSL/TLS yang sesuai untuk berbagai perangkat lunak server
  • Mendukung lebih dari 20 lingkungan server seperti Apache, nginx, HAProxy, dan Tomcat
  • Menyediakan tiga profil konfigurasi Mozilla: Modern, Intermediate, dan Old, sehingga tingkat keamanan dan kompatibilitas dapat dipilih
  • Menghasilkan konfigurasi yang disesuaikan dengan memasukkan versi OpenSSL dan versi server, termasuk opsi pengalihan HTTPS
  • Alat yang berguna untuk mempermudah penerapan konfigurasi server yang aman, terhubung dengan panduan keamanan Mozilla

Ikhtisar

  • Mozilla SSL Configuration Generator adalah alat berbasis web yang membantu administrator server membuat konfigurasi SSL/TLS yang aman dengan mudah
  • Berdasarkan kebijakan keamanan Mozilla dan rekomendasi pengaturan TLS, alat ini secara otomatis menghasilkan skrip konfigurasi yang sesuai dengan tiap lingkungan server

Perangkat lunak server yang didukung

  • Yang didukung mencakup Apache, AWS ALB/ELB, Caddy, Coturn, Dovecot, Exim, Go, HAProxy, Jetty, lighttpd, MySQL, nginx, Oracle HTTP, Postfix, PostgreSQL, ProFTPD, Redis, Squid, stunnel, Tomcat, dan Traefik
  • Menyediakan template konfigurasi SSL yang dioptimalkan untuk masing-masing server

Profil konfigurasi Mozilla

  • Modern: Mendukung TLS 1.3 dan ditujukan untuk layanan modern yang tidak memerlukan kompatibilitas mundur
  • Intermediate: Untuk server umum dengan mempertimbangkan kompatibilitas dengan berbagai klien, direkomendasikan untuk sebagian besar sistem
  • Old: Gunakan hanya jika harus mempertahankan kompatibilitas dengan klien yang sangat lama
Iklan

Opsi pengaturan lingkungan

  • Hasilkan konfigurasi yang sesuai dengan lingkungan dengan memasukkan Server Version dan OpenSSL Version
  • Menyertakan fitur pengalihan HTTPS dan memerlukan JavaScript diaktifkan

Referensi dan sumber daya

Bacaan terkait

1 komentar

 
GN⁺ 2025-11-16
Komentar Hacker News

  • Dalam konteks serupa, ada alat seperti SecurityHeaders untuk memindai header keamanan situs web, SSL Labs Test untuk memverifikasi konfigurasi TLS, serta testssl.sh yang dapat memindai situs dari command line
    Berguna di lingkungan yang tidak memiliki akses internet atau saat membuat laporan HTML otomatis

    • Saya perlu memindai dari jaringan internal, tetapi testssl.sh terlalu lambat, jadi saya memakai pemindai buatan sendiri, hello_tls
      Bahkan dengan paralelisasi dan menonaktifkan opsi, waktu minimumnya sekitar 20 detik, sedangkan alat baru ini 60~100 kali lebih cepat
      Tidak ada analisis kerentanan, tetapi tujuannya memang untuk mengekstrak konfigurasi
    • Namun, saya tidak setuju dengan situs security headers
      Setiap header punya fungsi berbeda, dan tergantung tujuan situs, ada kasus di mana sebaiknya justru tidak diterapkan
      Misalnya, meskipun ada header CSP, sering kali sebenarnya dikonfigurasi tanpa makna nyata

  • Saya tidak mengerti kenapa istilah “SSL” masih dipakai
    Rasanya seperti melupakan perkembangan teknologi selama 10 tahun terakhir

    • Saya juga memakai “TLS”, tetapi itu tidak mudah
      Jika Anda bilang ke pelanggan bahwa Anda akan menyiapkan sertifikat TLS, sering kali mereka khawatir dan bilang “kami butuh SSL”
      Pada akhirnya ini soal pengenalan istilah. Pengguna umum tidak tahu TLS, dan perusahaan tetap memakai SSL agar tidak menimbulkan kebingungan
      Bahkan halaman SSL milik Cloudflare memakai SSL di path URL-nya, tetapi isinya berfokus pada TLS, jadi membingungkan
    • SSL dikembangkan oleh Netscape pada era 90-an, lalu berkembang menjadi TLS
      Karena Netscape Navigator berlanjut menjadi Mozilla, masuk akal juga jika Mozilla masih sering memakai istilah SSL
    • Teknologi selama 10 tahun terakhir telah menghasilkan kode yang besar dan rumit
      Rasanya dunia akan lebih baik jika 75% perangkat lunak yang ada sekarang menghilang
    • Dulu SSL belum ada, dan saat pertama kali muncul itu adalah teknologi mahal yang terasa ajaib
      Setelah itu, istilah ini menjadi sebutan umum untuk HTTP terenkripsi, dan meskipun nama protokolnya berubah menjadi TLS, orang tetap menyebutnya SSL
    • Saya sendiri masih sering mengatakan SSL

  • Konfigurasi cipher tidak seharusnya diserahkan kepada pengembang aplikasi atau operator
    Tulisan TLS Cipher Suites di blog Go layak dijadikan referensi
    Mozilla SSL Configuration Generator memang bagus, tetapi sebenarnya ini alat yang seharusnya tidak perlu ada

    • Konfigurasi cipher punya biaya pemeliharaan yang besar, dan seiring waktu menjadi makin tidak efisien
      Library seperti OpenSSL sebenarnya sudah punya cipher preset, jadi aneh jika generator ini tidak memperluas itu
      Misalnya, kombinasi seperti “HIGH:!kRSA:!kEDH:!SHA1:!CAMELLIA:!ARIA” dapat menjaga keamanan sekaligus memakai algoritma modern
      Konfigurasi seperti ini mencegah masalah seperti menonaktifkan secara tidak sengaja cipher suite yang kuat seperti ECC key atau ChaCha20
      Karena alasan seperti inilah ada server yang tidak bisa mendukung EdDSA atau algoritma hybrid post-quantum

  • Agak ironis bahwa sekarang masih memasukkan OCSP stapling
    Karena browser dan Let's Encrypt pada praktiknya sudah menghentikan penggunaan OCSP

  • Mozilla juga menyediakan panduan konfigurasi SSH
    Lihat panduan keamanan OpenSSH

  • Akan bagus jika ada konfigurasi turnkey di mana pengembang server cukup menentukan tahun atau tingkat keamanan saja (secure, medium, loose)
    Memilih SSL cipher rasanya hampir setingkat cargo cult, jadi saya tidak benar-benar tahu apa yang saya lakukan

  • Saya penasaran kenapa mereka merekomendasikan mengatur SSLHonorCipherOrder ke Off

    • nginx juga merekomendasikan Off dengan alasan yang sama
      Cipher di tingkat Modern dan Intermediate semuanya aman, jadi lebih efisien jika klien dibiarkan memilih cipher yang sesuai dengan perangkat kerasnya
      Penjelasannya dirangkum dalam komentar issue dan wiki Mozilla

  • Sangat disayangkan generator konfigurasi ini tidak punya opsi mTLS (mutual TLS)
    Dalam situasi yang membutuhkan sertifikat klien, ini akan sangat berguna, tetapi tampaknya dihilangkan karena terlalu niche

    • Karena alat ini berfokus pada pengaturan komunikasi awal web server, mekanisme autentikasi berada di luar cakupannya
    • Menangani sertifikat klien membutuhkan pengetahuan lanjutan seperti membangun CA, jadi memang ini area yang terbatas

  • Entri “AWS ELB” tampaknya merujuk ke Classic Load Balancer
    Sekarang “AWS ALB” berarti Application Load Balancer, jadi istilahnya membingungkan

    • Mungkin ini konfigurasi yang sudah ada sejak sebelum ALB muncul, jadi tampaknya tidak banyak diperbarui

  • Akan bagus jika ada alat serupa untuk konfigurasi OpenSSL