Gerador de Configuração SSL da Mozilla

 (ssl-config.mozilla.org)
2 pontos por GN⁺ 2025-11-16 | 1 comentários | Compartilhar no WhatsApp
  • Ferramenta que gera automaticamente configurações de SSL/TLS para diversos softwares de servidor
  • Suporta mais de 20 tipos de ambientes de servidor, incluindo Apache, nginx, HAProxy e Tomcat
  • Oferece três perfis de configuração da MozillaModern, Intermediate e Old — permitindo escolher entre nível de segurança e compatibilidade
  • Gera configurações personalizadas ao informar a versão do OpenSSL e a versão do servidor, com opção de redirecionamento HTTPS
  • Uma ferramenta útil que, em conjunto com as diretrizes de segurança da Mozilla, facilita a implementação de configurações seguras de servidor

Visão geral

  • O Mozilla SSL Configuration Generator é uma ferramenta baseada na web que ajuda administradores de servidores a criar com facilidade configurações seguras de SSL/TLS
  • Com base nas políticas de segurança da Mozilla e nas configurações recomendadas de TLS, gera automaticamente scripts de configuração adequados para cada ambiente de servidor

Softwares de servidor compatíveis

  • Entre os suportados estão Apache, AWS ALB/ELB, Caddy, Coturn, Dovecot, Exim, Go, HAProxy, Jetty, lighttpd, MySQL, nginx, Oracle HTTP, Postfix, PostgreSQL, ProFTPD, Redis, Squid, stunnel, Tomcat e Traefik
  • Fornece modelos de configuração SSL otimizados para cada servidor

Perfis de configuração da Mozilla

  • Modern: suporta TLS 1.3 e é voltado a serviços modernos que não precisam de compatibilidade com versões antigas
  • Intermediate: indicado para servidores em geral, considerando compatibilidade com diversos clientes, e recomendado para a maioria dos sistemas
  • Old: use apenas quando for necessário manter compatibilidade com clientes muito antigos

Itens de configuração do ambiente

  • Gere configurações adequadas ao ambiente informando a Server Version e a OpenSSL Version
  • Inclui recurso de redirecionamento para HTTPS e requer JavaScript ativado

Referências e recursos

Leituras relacionadas

1 comentários

 
GN⁺ 2025-11-16
Comentários no Hacker News

  • Em uma linha parecida, existem ferramentas como o SecurityHeaders, que pode escanear os cabeçalhos de segurança de um site, o SSL Labs Test, que valida a configuração de TLS, e o testssl.sh, que permite escanear um site pela linha de comando
    Isso é útil em ambientes sem acesso à internet ou para gerar relatórios HTML automatizados

    • Eu precisava fazer varreduras em uma rede interna, mas o testssl.sh era lento demais, então usei um scanner que fiz, o hello_tls
      Mesmo com paralelização e opções desativadas, o mínimo era 20 segundos, mas a nova ferramenta é 60 a 100 vezes mais rápida
      Ela não faz análise de vulnerabilidades, mas o objetivo era extrair a configuração
    • Mas eu discordo do site de security headers
      Cada cabeçalho tem uma função diferente e, dependendo do propósito do site, há casos em que não se deve aplicar certos cabeçalhos
      Por exemplo, mesmo quando existe um cabeçalho CSP, muitas vezes ele está configurado de forma inútil na prática

  • Não entendo por que ainda usam o termo “SSL
    Parece que esqueceram os avanços técnicos dos últimos 10 anos

    • Eu também uso “TLS”, mas não é fácil
      Quando digo ao cliente que vou configurar um certificado TLS, muitas vezes ele se preocupa dizendo “nós precisamos de SSL”
      No fim, é uma questão de reconhecimento do termo. Usuários comuns não conhecem TLS, e empresas continuam usando SSL para evitar confusão
      Até a página de SSL da Cloudflare usa SSL no caminho, mas o conteúdo é centrado em TLS, o que causa confusão
    • O SSL foi desenvolvido pela Netscape nos anos 90 e depois evoluiu para TLS
      Como o Netscape Navigator levou ao Mozilla, também dá para entender por que a Mozilla ainda usa muito o termo SSL
    • A tecnologia dos últimos 10 anos produziu código inchado e complexo
      Acho que o mundo seria melhor se 75% do software que existe hoje desaparecesse
    • Antigamente o SSL não existia e, quando apareceu, era uma tecnologia cara e curiosa
      Depois virou o nome genérico para HTTP criptografado e, mesmo com o nome do protocolo mudando para TLS, continuou sendo chamado de SSL
    • Eu ainda falo SSL com frequência

  • A configuração de cifras não deveria ficar nas mãos de desenvolvedores de aplicação ou operadores
    Vale consultar o artigo do blog do Go sobre TLS Cipher Suites
    O Mozilla SSL Configuration Generator é excelente, mas na verdade é uma ferramenta que nem deveria precisar existir

    • A configuração de cifras tem alto custo de manutenção e, com o tempo, tende a se tornar cada vez mais ineficiente
      Bibliotecas como o OpenSSL já tinham cipher preset, então é estranho que o gerador não tenha expandido isso
      Por exemplo, uma combinação como “HIGH:!kRSA:!kEDH:!SHA1:!CAMELLIA:!ARIA” permite manter a segurança e ao mesmo tempo usar algoritmos modernos
      Esse tipo de configuração evita o problema de desativar por engano cipher suites poderosas como ECC key ou ChaCha20
      É por isso também que surgem servidores que não conseguem oferecer suporte a EdDSA ou algoritmos híbridos post-quantum

  • Hoje em dia é irônico incluir OCSP stapling
    porque os navegadores e a Let's Encrypt já praticamente abandonaram o OCSP

  • A Mozilla também oferece um guia de configuração de SSH
    Dá para consultar as diretrizes de segurança do OpenSSH

  • Eu gostaria que existisse uma configuração turnkey em que o desenvolvedor do servidor só precisasse informar o ano ou o nível de segurança (secure, medium, loose)
    Escolher SSL cipher está quase no nível de cargo cult, porque eu realmente não sei o que estou fazendo

  • Eu sempre quis saber por que recomendam definir SSLHonorCipherOrder como Off

    • O nginx recomenda Off pelo mesmo motivo
      Como as cifras dos níveis Modern e Intermediate são todas seguras, é mais eficiente deixar o cliente escolher a cifra adequada ao hardware dele
      Isso está resumido neste comentário da issue e na wiki da Mozilla

  • É uma pena que o gerador de configuração não tenha uma opção de mTLS (TLS mútuo)
    Isso seria muito útil em situações em que certificados de cliente são necessários, mas aparentemente ficou de fora por ser um recurso muito de nicho

    • Como a ferramenta é focada na configuração da comunicação inicial do servidor web, mecanismos de autenticação estão fora do escopo
    • Lidar com certificados de cliente exige conhecimento avançado, como montar uma CA, então realmente é uma área bem específica

  • O item “AWS ELB” parece se referir ao Classic Load Balancer
    Hoje “AWS ALB” significa Application Load Balancer, então a terminologia fica confusa

    • Provavelmente é uma configuração que existe desde antes do surgimento do ALB, então parece não receber muitas atualizações

  • Seria bom se houvesse uma ferramenta parecida para configuração do OpenSSL