12Sep
Spouštíte slušnou webovou stránku, kterou uživatelé mohou důvěřovat.Že jo? Možná budete chtít tuto kontrolu zopakovat. Pokud jsou vaše stránky spuštěny v Internetová informační služba( IIS), můžete být překvapeni. Pokud se vaši uživatelé pokusí připojit k serveru přes zabezpečené připojení( SSL / TLS), pravděpodobně jim neposkytnete bezpečnou volbu.
Poskytování lepší šifrovací sady je zdarma a velmi snadné nastavení.Postupujte podle pokynů krok za krokem, abyste chránili uživatele a váš server. Dozvíte se také, jak testovat služby, které používáte, abyste zjistili, jak bezpečně jsou skutečně.
Proč jsou vaše Cipher Suites důležité
Microsoft IIS je docela skvělý.Je to snadné nastavení a údržba. Má uživatelsky přívětivé grafické rozhraní, které usnadňuje konfiguraci. Spouští se na systému Windows. Služba IIS skutečně hodně hodlá, ale ve skutečnosti klesá, pokud jde o bezpečnostní selhání.
Zde je způsob, jakým funguje zabezpečené připojení.Váš prohlížeč iniciuje zabezpečené připojení k webu. To je nejlépe identifikováno adresou URL začínající "HTTPS: //".Firefox nabízí malou ikonu zámku, která dále ilustruje tento bod. Chrome, Internet Explorer a Safari mají všechny podobné způsoby, jak vás informovat, že vaše připojení je šifrováno. Server, ke kterému se připojujete, odpovídá na váš prohlížeč se seznamem možností šifrování, z nichž si můžete vybrat nejraději. Váš prohlížeč přejde do seznamu, dokud nenalezne možnost šifrování, která se mu líbí a my jsme vypnuty a běžíme. Zbytek, jak se říká, je matematika.(Nikdo to neříká.)
Křivka v tomto případě je, že ne všechny možnosti šifrování jsou vytvořeny stejně.Některé používají opravdu skvělé šifrovací algoritmy( ECDH), jiné jsou méně kvalitní( RSA) a některé jsou prostě špatné( DES).Prohlížeč se může připojit k serveru pomocí libovolné možnosti, kterou server poskytuje. Pokud vaše stránky nabízejí některé možnosti ECDH, ale také některá možnost DES, váš server se připojí buďto. Jednoduchý způsob nabízení těchto špatných možností šifrování způsobí, že vaše stránky, váš server a uživatelé jsou potenciálně zranitelní.Ve výchozím nastavení služba IIS poskytuje některé poměrně špatné možnosti. Ne katastrofální, ale určitě ne dobré.
Jak vidíte, kde stojíte
Než začneme, možná budete chtít vědět, kde stojí váš web. Naštěstí dobří uživatelé společnosti Qualys poskytují všem bezplatně služby SSL Labs. Pokud přejdete na stránku https: //www.ssllabs.com/ssltest/, můžete přesně vidět, jak váš server reaguje na požadavky HTTPS.Můžete také zjistit, jak pravidelně využíváte služby, které se používají.
Zde je jedna poznámka opatrná.Jen proto, že stránky neobdrží rating A, neznamená to, že lidé, kteří je provozují, dělají špatnou práci. SSL Labs slaví RC4 jako slabý šifrovací algoritmus, i když proti němu nejsou známy žádné útoky. Je pravda, že je méně odolná vůči pokusům o hrubou sílu než něco jako RSA nebo ECDH, ale to nemusí být nutně špatné.Stránky mohou nabízet volbu připojení RC4 z nutnosti kompatibility s určitými prohlížeči, takže použijte hodnocení stránek jako vodítko, nikoliv prohlášení o bezpečnosti nebo nedostatek bezpečnosti.
Aktualizace vašeho šifrovacího balíčku
Pokryli jsme pozadí, teď si necháme špinavé ruce. Aktualizace sady možností, které poskytuje váš server Windows, není nutně přímá, ale rozhodně není ani těžké.
Chcete-li spustit, stisknutím klávesy Windows + R vyvoláte dialogové okno Spustit. Zadejte příkaz "gpedit.msc" a klepnutím na tlačítko OK spusťte Editor zásad skupiny. Zde provedeme změny.
Na levé straně rozbalte položku Konfigurace počítače, Šablony pro správu, Síť a pak klepněte na Nastavení konfigurace protokolu SSL.
Na pravé straně dvakrát klikněte na příkaz SSL Cipher Suite.
Ve výchozím nastavení je vybráno tlačítko "Not Configured".Klepnutím na tlačítko "Enabled( Povoleno)" upravíte serverové Cipher Suites.
Pole SSL Cipher Suites vyplní text po klepnutí na tlačítko. Chcete-li zjistit, co Cipher Suites váš server aktuálně nabízí, zkopírujte text z pole SSL Cipher Suites a vložte jej do programu Poznámkový blok. Text bude obsahovat jeden dlouhý neporušený řetězec. Každá z možností šifrování je oddělena čárkou. Uvedením každé volby na vlastní řádek bude přehlednější seznam.
Můžete projít seznam a přidat nebo odebrat do svého srdce obsahu s jedním omezením;tento seznam nesmí mít více než 1 023 znaků.To je zvláště nepříjemné, protože šifrovací jednotky mají dlouhé názvy jako "TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P384", proto si pečlivě vybírejte. Doporučuji používat seznam vytvořený Steve Gibsonem na adrese GRC.com: https: //www.grc.com/miscfiles/ SChannel_Cipher_Suites.txt.
Jakmile jste svůj seznam vyřešili, musíte ho naformátovat. Podobně jako původní seznam musí být nový nový neporušený řetězec znaků s každou šifrou oddělenou čárkou. Zkopírujte formátovaný text a vložte jej do pole SSL Cipher Suites a klepněte na tlačítko OK.Konečně, abyste provedli změnu, musíte se restartovat.
Spusťte a spustíte svůj server a přejděte na SSL Labs a vyzkoušejte jej. Pokud by vše proběhlo dobře, měly by vám výsledky získat hodnocení A.
Pokud byste chtěli něco trochu více vizuální, můžete nainstalovat IIS Crypto od Nartac( https: //www.nartac.com/Products/IISCrypto/ Default.aspx).Tato aplikace vám umožní provádět stejné změny jako výše uvedené kroky. Umožňuje také povolení nebo zakázání šifrování na základě různých kritérií, takže je nemusíte procházet ručně.
Bez ohledu na to, jak to uděláte, aktualizace vašeho Cipher Suites je snadný způsob, jak zvýšit bezpečnost pro vás i vaše koncové uživatele.