Cum să vă actualizați suita Windows Cipher Suite pentru o mai bună securitate
Porniți un site respectabil, pe care utilizatorii dvs. pot avea încredere. Dreapta? S-ar putea să doriți să verificați dublu acest lucru. Dacă site-ul dvs. se execută pe Microsoft Internet Information Services (IIS), s-ar putea să fiți într-o surpriză. Când utilizatorii dvs. încearcă să se conecteze la serverul dvs. printr-o conexiune securizată (SSL / TLS), este posibil să nu le oferiți o opțiune sigură.
Furnizarea unui suita de cifre mai bună este gratuită și destul de ușor de configurat. Doar urmați acest ghid pas cu pas pentru a vă proteja utilizatorii și serverul. De asemenea, veți învăța cum să testați serviciile pe care le utilizați pentru a vedea cât de sigure sunt într-adevăr.
De ce suitele dvs. de cifre sunt importante
Microsoft IIS este destul de mare. Este atât ușor de configurat și de întreținut. Are o interfață grafică ușor de utilizat, care face configurarea o briză. Rulează pe Windows. IIS are într-adevăr o mulțime de lucruri pentru ea, dar într-adevăr se prăbușește atunci când vine vorba de implicațiile de securitate.
Iată cum funcționează o conexiune securizată. Browserul dvs. inițiază o conexiune securizată către un site. Acest lucru este cel mai ușor de identificat printr-un URL care începe cu "HTTPS: //". Firefox oferă o mică pictogramă de blocare pentru a ilustra punctul în continuare. Chrome, Internet Explorer și Safari au toate metode similare de a vă anunța că conexiunea dvs. este criptată. Serverul pe care îl conectați la răspunsuri la browserul dvs. cu o listă de opțiuni de criptare pentru a alege de la cel mai preferat la cel mai mic. Browserul dvs. coboară în listă până când găsește o opțiune de criptare pe care o apreciază și suntem dezactivate. Restul, după cum se spune, este matematică. (Nimeni nu spune asta.)
Defecțiunea fatală în acest sens este că nu toate opțiunile de criptare sunt create în mod egal. Unele utilizează algoritmi de criptare cu adevărat grozavi (ECDH), alții sunt mai puțin buni (RSA), iar unii sunt doar prost sfătuiți (DES). Un browser poate să se conecteze la un server utilizând oricare dintre opțiunile pe care le oferă serverul. Dacă site-ul dvs. oferă anumite opțiuni ECDH, dar și unele opțiuni DES, serverul dvs. se va conecta la oricare dintre acestea. Simplul act de oferire a acestor opțiuni de criptare proastă face posibil ca site-ul dvs., serverul dvs. și utilizatorii dvs. să fie vulnerabili. Din păcate, în mod prestabilit, IIS oferă câteva opțiuni destul de slabe. Nu catastrofală, dar cu siguranță nu bună.
Cum să vezi unde stai
Înainte de a începe, este posibil să doriți să știți unde este site-ul dvs. Din fericire, cei buni de la Qualys furnizează gratuit tuturor laboratoarelor SSL. Dacă accesați https://www.ssllabs.com/ssltest/, puteți vedea exact cum răspunde serverul dvs. la cererile HTTPS. De asemenea, puteți vedea cum serviciile se utilizează în mod regulat.
O notă de prudență aici. Doar pentru că un site nu primește un rating A nu înseamnă că oamenii care le execută fac o treabă proastă. SSL Labs slabește RC4 ca un algoritm de criptare slab, deși nu există atacuri cunoscute împotriva acestuia. Este adevărat că este mai puțin rezistent la tentativele de forță brutale decât ceva ca RSA sau ECDH, dar nu este neapărat rău. Un site poate oferi o opțiune de conectare RC4 din necesitate pentru compatibilitate cu anumite browsere, astfel încât să se utilizeze clasamentele site-urilor drept îndrumare, nu o declarație de securitate sau o lipsă a securității.
Actualizarea suitei de cifre
Am acoperit fundalul, acum să ne murdărim mâinile. Actualizarea setului de opțiuni pe care le oferă serverul Windows nu este neapărat simplu, dar cu siguranță nu este greu.
Pentru a începe, apăsați Windows Key + R pentru a afișa caseta de dialog "Run". Introduceți "gpedit.msc" și faceți clic pe "OK" pentru a lansa Editorul politicilor de grup. Aici vom face schimbările.
În partea stângă, extindeți Configurare computer, Șabloane administrative, Rețea și apoi faceți clic pe Setările de configurare SSL.
În partea dreaptă, faceți dublu clic pe comanda SSL Cipher Suite.
Implicit, este selectat butonul "Nu este configurat". Faceți clic pe butonul "Activat" pentru a edita Cipher Suites.
Câmpul SSL Cipher Suites se va umple cu text odată ce faceți clic pe buton. Dacă doriți să vedeți ce oferă Cipher Suites serverul dvs., copiați textul din câmpul SSL Cipher Suites și inserați-l în Notepad. Textul va fi într-un șir lung, neîntrerupt. Fiecare dintre opțiunile de criptare este separată de o virgulă. Punerea fiecărei opțiuni pe propria linie va face lista mai ușor de citit.
Puteți trece prin listă și adăuga sau elimina în conținutul inimii dvs. cu o singură restricție; lista nu poate fi mai mare de 1023 de caractere. Acest lucru este deosebit de enervant, deoarece suitele de cifre au nume lungi precum "TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P384", deci alegeți cu atenție. Vă recomandăm să folosiți lista întocmită de Steve Gibson la GRC.com: https://www.grc.com/miscfiles/SChannel_Cipher_Suites.txt.
Odată ce ați pregătit lista, trebuie să o formatați pentru utilizare. La fel ca lista originală, noua dvs. trebuie să fie un șir neîntrerupt de caractere, fiecare cifru fiind separat de virgulă. Copiați textul formatat și inserați-l în câmpul SSL Cipher Suites și faceți clic pe OK. În cele din urmă, pentru a face stickul de schimbare, trebuie să reporniți.
Cu serverul dvs. de backup și de funcționare, mergeți la SSL Labs și testați-l. Dacă totul a mers bine, rezultatele ar trebui să dea un rating A.
Dacă doriți ceva mai puțin vizibil, puteți instala Crypt IIS de către Nartac (https://www.nartac.com/Products/IISCrypto/Default.aspx). Această aplicație vă va permite să faceți aceleași modificări ca și pașii de mai sus. De asemenea, vă permite să activați sau să dezactivați cipurile pe baza unei varietăți de criterii, astfel încât să nu trebuiască să le treceți manual.
Indiferent de modul în care faceți acest lucru, actualizarea Cipher Suites este o modalitate ușoară de a îmbunătăți securitatea pentru dvs. și utilizatorii finali.
