12Sep
Sie betreiben eine respektable Website, der Ihre Benutzer vertrauen können. Recht? Vielleicht möchten Sie das überprüfen. Wenn Ihre Site unter Microsoft Internetinformationsdienste( IIS) ausgeführt wird, sind Sie möglicherweise überrascht. Wenn Ihre Benutzer versuchen, sich über eine sichere Verbindung( SSL / TLS) mit Ihrem Server zu verbinden, stellen Sie ihnen möglicherweise keine sichere Option zur Verfügung.
Die Bereitstellung einer besseren Cipher-Suite ist kostenlos und ziemlich einfach einzurichten. Befolgen Sie diese Schritt-für-Schritt-Anleitung, um Ihre Benutzer und Ihren Server zu schützen. Außerdem erfahren Sie, wie Sie die Dienste testen, die Sie verwenden, um zu sehen, wie sicher sie wirklich sind.
Warum Ihre Cipher Suites wichtig sind
Microsoft IIS ist ziemlich gut. Es ist sowohl einfach einzurichten als auch zu warten. Es hat eine benutzerfreundliche grafische Oberfläche, die die Konfiguration zu einem Kinderspiel macht. Es läuft unter Windows. IIS hat wirklich viel zu bieten, fällt aber in Bezug auf die Sicherheitsstandards wirklich aus.
So funktioniert eine sichere Verbindung. Ihr Browser initiiert eine sichere Verbindung zu einer Site. Dies wird am einfachsten durch eine URL identifiziert, die mit "HTTPS: //" beginnt. Firefox bietet ein kleines Schlosssymbol, um den Punkt weiter zu veranschaulichen. Chrome, Internet Explorer und Safari verfügen über ähnliche Methoden, mit denen Sie wissen, dass Ihre Verbindung verschlüsselt ist. Der Server, mit dem Sie eine Verbindung herstellen, antwortet Ihrem Browser mit einer Liste von Verschlüsselungsoptionen, aus denen Sie in der Reihenfolge der am meisten bevorzugten zu den wenigsten auswählen können. Ihr Browser geht in der Liste nach unten, bis er eine Verschlüsselungsoption gefunden hat, die ihm gefällt, und wir gehen los. Der Rest, wie sie sagen, ist Mathe.(Niemand sagt das.)
Der fatale Fehler dabei ist, dass nicht alle Verschlüsselungsoptionen gleich erstellt werden. Einige verwenden wirklich große Verschlüsselungsalgorithmen( ECDH), andere sind weniger gut( RSA) und einige sind nur schlecht beraten( DES).Ein Browser kann mit einer der Optionen, die der Server bietet, eine Verbindung zu einem Server herstellen. Wenn Ihre Website einige ECDH-Optionen, aber auch einige DES-Optionen anbietet, stellt Ihr Server eine Verbindung her. Der einfache Akt des Anbietens dieser schlechten Verschlüsselungsoptionen macht Ihre Site, Ihren Server und Ihre Benutzer potenziell anfällig. Leider bietet IIS standardmäßig einige ziemlich schlechte Optionen. Nicht katastrophal, aber definitiv nicht gut.
So sehen Sie, wo Sie stehen
Bevor Sie beginnen, möchten Sie vielleicht wissen, wo Ihre Site steht. Zum Glück stellen die guten Leute von Qualys allen kostenlos SSL Labs zur Verfügung. Wenn Sie zu https: //www.ssllabs.com/ssltest/ gehen, können Sie genau sehen, wie Ihr Server auf HTTPS-Anfragen reagiert. Sie können auch sehen, wie die von Ihnen verwendeten Dienste regelmäßig zusammenlaufen.
Hier ist Vorsicht angebracht. Nur weil eine Website keine A-Bewertung erhält, bedeutet das nicht, dass die Leute, die sie betreiben, einen schlechten Job machen. SSL Labs schlägt RC4 als schwachen Verschlüsselungsalgorithmus, obwohl keine bekannten Angriffe dagegen existieren. Es ist zwar weniger widerstandsfähig gegenüber Brute-Force-Versuchen als etwas wie RSA oder ECDH, aber es ist nicht unbedingt schlecht. Eine Site kann eine RC4-Verbindungsoption bieten, die aus Gründen der Kompatibilität mit bestimmten Browsern erforderlich ist. Verwenden Sie daher die Rangliste der Websites als Richtlinie, nicht als eiserne Erklärung der Sicherheit oder deren Fehlen.
Aktualisierung Ihrer Cipher Suite
Wir haben den Hintergrund behandelt, jetzt wollen wir uns die Hände schmutzig machen. Das Aktualisieren der Optionen, die Ihr Windows-Server bietet, ist nicht unbedingt einfach, aber es ist auch nicht schwer.
Drücken Sie zum Starten die Windows-Taste + R, um das Dialogfeld "Ausführen" zu öffnen. Geben Sie "gpedit.msc" ein und klicken Sie auf "OK", um den Gruppenrichtlinien-Editor zu starten. Hier werden wir unsere Änderungen vornehmen.
Erweitern Sie auf der linken Seite Computerkonfiguration, Administrative Vorlagen, Netzwerk und klicken Sie dann auf SSL-Konfigurationseinstellungen.
Auf der rechten Seite doppelklicken Sie auf SSL Cipher Suite Order.
Standardmäßig ist die Schaltfläche "Nicht konfiguriert" ausgewählt. Klicken Sie auf die Schaltfläche "Aktiviert", um die Cipher Suites Ihres Servers zu bearbeiten.
Das Feld SSL Cipher Suites wird mit Text gefüllt, sobald Sie auf die Schaltfläche klicken. Wenn Sie sehen möchten, welche Cipher Suites derzeit von Ihrem Server angeboten werden, kopieren Sie den Text aus dem Feld "SSL Cipher Suites" und fügen Sie ihn in den Editor ein. Der Text wird in einer langen, ununterbrochenen Zeichenfolge sein. Jede der Verschlüsselungsoptionen ist durch ein Komma getrennt. Wenn Sie jede Option auf eine eigene Zeile setzen, wird die Liste leichter lesbar.
Sie können die Liste durchgehen und nach Herzenslust mit einer Einschränkung hinzufügen oder entfernen. Die Liste darf nicht länger als 1.023 Zeichen sein. Dies ist besonders ärgerlich, weil die Chiffre-Suiten lange Namen wie "TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P384" haben, also wähle sorgfältig. Ich empfehle, die von Steve Gibson zusammengestellte Liste bei GRC.com zu verwenden: https: //www.grc.com/miscfiles/ SChannel_Cipher_Suites.txt.
Sobald Sie Ihre Liste bearbeitet haben, müssen Sie sie formatieren. Wie die ursprüngliche Liste muss Ihre neue eine ununterbrochene Zeichenfolge sein, wobei jede Verschlüsselung durch ein Komma getrennt ist. Kopieren Sie den formatierten Text und fügen Sie ihn in das Feld SSL Cipher Suites ein und klicken Sie auf OK.Um die Änderung zu erhalten, müssen Sie den Computer neu starten.
Wenn Ihr Server wieder betriebsbereit ist, gehen Sie zu SSL Labs und testen Sie ihn. Wenn alles gut gegangen ist, sollten die Ergebnisse eine A-Bewertung geben.
Wenn Sie etwas visueller möchten, können Sie IIS Crypto von Nartac installieren( https: //www.nartac.com/Products/IISCrypto/ Default.aspx).Diese Anwendung ermöglicht es Ihnen, die gleichen Änderungen wie die obigen Schritte vorzunehmen. Außerdem können Sie Verschlüsselungen anhand verschiedener Kriterien aktivieren oder deaktivieren, sodass Sie sie nicht manuell durchlaufen müssen.
Egal wie Sie es machen, die Aktualisierung Ihrer Cipher Suites ist eine einfache Möglichkeit, die Sicherheit für Sie und Ihre Endbenutzer zu verbessern.
