12Sep
Jūs izmantojat cienījamu vietni, kurā lietotāji var uzticēties. Pa labi? Jūs varētu vēlēties dubult pārbaudīt, vai. Ja jūsu vietne darbojas Microsoft Internet Information Services( IIS), jums varētu būt pārsteigums. Kad jūsu lietotāji mēģina izveidot savienojumu ar savu serveri, izmantojot drošu savienojumu( SSL / TLS), iespējams, ka viņiem netiks nodrošināta droša iespēja.
Labāka šifrēšanas komplekta nodrošināšana ir bezmaksas un viegli iestatāma. Vienkārši izpildiet šo soli pa solim, lai aizsargātu savus lietotājus un savu serveri. Jūs arī uzzināsiet, kā pārbaudīt pakalpojumus, kurus izmantojat, lai redzētu, cik droši tie patiešām ir.
Kāpēc jūsu Cipher Suites ir svarīgi
Microsoft IIS ir diezgan lieliska. Tas ir viegli uzstādīt un uzturēt. Tam ir lietotājam draudzīgs grafiskais interfeiss, kas konfigurē putekļus. Tas darbojas operētājsistēmā Windows. IIS patiešām daudz dara to, bet patiešām samazināsies, kad runa ir par drošības defektiem.
Lūk, kā darbojas drošs savienojums. Jūsu pārlūkprogramma sāk drošu savienojumu ar vietni. To vislabāk identificē URL, kas sākas ar "HTTPS: //".Firefox piedāvā nelielu slēdzenes ikonu, lai ilustrētu punktu tālāk. Visās pārlūkprogrammās Chrome, Internet Explorer un Safari ir līdzīgas metodes, kas ļauj jums zināt, ka jūsu savienojums ir šifrēts. Serveris, kuru savienojat ar atbildēm uz jūsu pārlūkprogrammu, ar šifrēšanas opciju sarakstu, no kuriem izvēlēties, vislabāk. Jūsu pārlūkprogramma iet uz leju sarakstā, līdz tā atrod šifrēšanas opciju, kas viņai patīk, un mēs esam izslēgti un darbojas. Pārējie, kā saka, ir matemātikā.(Neviens to nesaka).
Šajā nāves cēloņā ir tas, ka ne visas šifrēšanas opcijas tiek radītas vienādi. Dažās valstīs tiek izmantoti patiešām lieliski šifrēšanas algoritmi( ECDH), citi ir mazāk lieli( RSA), un daži no tiem ir vienkārši ieteicami( DES).Pārlūkprogramma var izveidot savienojumu ar serveri, izmantojot kādu no servera iespējām. Ja jūsu vietnē tiek piedāvātas dažas ECDH opcijas, kā arī daži DES varianti, jūsu serveris izveidos savienojumu. Vienkāršais šo slikto šifrēšanas iespēju piedāvājums padara jūsu vietni, jūsu serveri un jūsu lietotājus potenciāli neaizsargātu. Diemžēl pēc noklusējuma IIS piedāvā dažas diezgan sliktas iespējas. Nav katastrofāla, bet noteikti nav laba.
Kā redzēt, kur stāvējat
Pirms sākat darbu, jūs, iespējams, vēlaties uzzināt, kur atrodas jūsu vietne. Par laimi, Goodyears Qualys nodrošina SSL laboratorijas mums visiem bez maksas. Ja jūs apmeklējat https: //www.ssllabs.com/ssltest/, varat precīzi redzēt, kā jūsu serveris reaģē uz HTTPS pieprasījumiem. Varat arī redzēt, kā regulāri tiek apkopoti pakalpojumi.
Viena piezīme par piesardzību šeit. Tikai tādēļ, ka vietne nesaņem A reitingu, nenozīmē, ka cilvēki, kuri tos izmanto, nedarbojas pareizi. SSL Labs vājina šifrēšanas algoritmu RC4, lai gan nav zināmu uzbrukumu pret to. True, tas ir mazāk izturīgs pret brutālu spēku mēģinājumiem nekā kaut kas līdzīgs RSA vai ECDH, bet tas nav obligāti slikti. Vietne var piedāvāt RC4 savienojuma iespēju, kas nav saistīta ar saderību ar dažām pārlūkprogrammām, tādēļ izmantojiet vietņu klasifikāciju kā vadlīnijas, nevis dzelzs lakatu drošības deklarāciju vai tās neesamību.
Atjaunojot jūsu ciparu komplektu
Mēs esam noklājuši fonu, tagad mēs padarīsim netīru roku. Windows servera piedāvāto opciju komplekta atjaunināšana ne vienmēr ir vienkārša, taču noteikti tā nav grūti.
Lai sāktu, nospiediet Windows taustiņu + R, lai atvērtu dialoglodziņu "Palaist".Ievadiet "gpedit.msc" un noklikšķiniet uz "Labi", lai palaistu grupas politikas redaktoru.Šeit mēs veiksim izmaiņas.
Kreisajā pusē izvērsiet datora konfigurāciju, administratīvās veidnes, tīklu un pēc tam noklikšķiniet uz SSL konfigurācijas iestatījumi.
Labajā pusē veiciet dubultklikšķi uz SSL Cipher Suite pasūtījuma.
Pēc noklusējuma ir izvēlēta poga "Nav konfigurēta".Noklikšķiniet uz pogas Iespējots, lai rediģētu servera Cipher Suites.
Laukā SSL Cipher Suites aizpildīs tekstu, tiklīdz noklikšķināsiet uz pogas. Ja vēlaties redzēt, ko jūsu serveris piedāvā pašlaik, nospiediet tekstu no lauka SSL Cipher Suites un ielīmējiet to Notepad. Teksts būs vienā garā un nepārtrauktā virknē.Katra šifrēšanas opcija ir atdalīta ar komatu. Izmantojot katru opciju savā rindā, saraksts būs vieglāk lasāms.
Jūs varat iet caur sarakstu un pievienot vai noņemt jūsu sirdij saturu ar vienu ierobežojumu;saraksts nedrīkst pārsniegt 1023 rakstzīmes. Tas ir īpaši satraucoši, jo šifra komplektiem ir seni nosaukumi, piemēram, "TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P384", tāpēc rūpīgi izvēlieties. Es iesaku izmantot Steve Gibson izveidoto sarakstu GRC.com: https: //www.grc.com/miscfiles/ SChannel_Cipher_Suites.txt.
Kad esat kuravējis savu sarakstu, jums tas ir jāformatē lietošanai. Tāpat kā oriģinālajā sarakstā, jūsu jaunajam ir jābūt vienai nepārtrauktai rakstzīmju virknē ar katru šifru, kas atdalīti ar komatu. Kopējiet formatētu tekstu un ielīmējiet to SSL Cipher Suite laukā un noklikšķiniet uz Labi. Visbeidzot, lai veiktu izmaiņas stick, jums ir jāpārstartē.
Kad serveris ir izveidots un darbojas, pārejiet pie SSL Labs un izmēģiniet to. Ja viss notiks labi, rezultātiem vajadzētu dot jums reitingu.
Ja jūs vēlaties kaut ko nedaudz vairāk vizuāli, jūs varat instalēt IIS Crypto ar Nartac( https: //www.nartac.com/Products/IISCrypto/ Default.aspx).Šis pieteikums ļaus jums veikt tādas pašas izmaiņas kā iepriekš norādītās darbības. Tas arī ļauj ieslēgt vai atspējot ciparus, pamatojoties uz dažādiem kritērijiem, tādēļ jums nav manuāli jāpārlūko.
Neatkarīgi no tā, kā jūs to darāt, jūsu Cipher Suite atjaunināšana ir vienkāršs veids, kā uzlabot drošību gan jums, gan jūsu lietotājiem.