12Sep
Usted tiene un sitio respetable en el que sus usuarios pueden confiar.¿Derecha? Es posible que desee comprobarlo dos veces. Si su sitio se ejecuta en Microsoft Internet Information Services( IIS), es posible que se sorprenda. Cuando los usuarios intentan conectarse a su servidor a través de una conexión segura( SSL / TLS), es posible que no les proporcione una opción segura.
Proporcionar un mejor conjunto de cifrado es gratuito y bastante fácil de instalar. Simplemente siga esta guía paso a paso para proteger a sus usuarios y su servidor. También aprenderá a probar los servicios que usa para ver qué tan seguros son en realidad.
Por qué son importantes sus Suites de cifrado
El IIS de Microsoft es bastante bueno. Es fácil de configurar y mantener. Tiene una interfaz gráfica fácil de usar que facilita la configuración. Se ejecuta en Windows. IIS realmente tiene mucho que ofrecer, pero realmente falla cuando se trata de los valores predeterminados de seguridad.
Así es como funciona una conexión segura. Su navegador inicia una conexión segura a un sitio. Esto se identifica más fácilmente con una URL que comienza con "HTTPS: //".Firefox ofrece un pequeño ícono de candado para ilustrar más el punto. Chrome, Internet Explorer y Safari tienen métodos similares que le permiten saber que su conexión está encriptada. El servidor al que te estás conectando responde a tu navegador con una lista de opciones de encriptación para elegir en orden de más preferido a menos. Su navegador va por la lista hasta que encuentra una opción de cifrado que le gusta y estamos listos y en ejecución. El resto, como dicen, es matemática.(Nadie dice eso.)
La falla fatal en esto es que no todas las opciones de encriptado se crean por igual. Algunos usan algoritmos de encriptación realmente buenos( ECDH), otros son menos geniales( RSA), y algunos simplemente no son recomendables( DES).Un navegador puede conectarse a un servidor usando cualquiera de las opciones que el servidor proporciona. Si su sitio ofrece algunas opciones de ECDH pero también algunas opciones de DES, su servidor se conectará en cualquiera de ellas. El simple hecho de ofrecer estas malas opciones de cifrado hace que su sitio, su servidor y sus usuarios sean potencialmente vulnerables. Desafortunadamente, de manera predeterminada, IIS proporciona algunas opciones bastante malas. No es catastrófico, pero definitivamente no es bueno.
Cómo saber dónde se encuentra
Antes de comenzar, es posible que desee saber dónde se encuentra su sitio. Afortunadamente, los buenos empleados de Qualys nos están proporcionando SSL Labs de forma gratuita. Si va a https: //www.ssllabs.com/ssltest/, puede ver exactamente cómo responde su servidor a las solicitudes HTTPS.También puede ver cómo los servicios que usa regularmente se acumulan.
Una nota de precaución aquí.El hecho de que un sitio no reciba una calificación A no significa que la gente que los está ejecutando esté haciendo un mal trabajo. SSL Labs critica RC4 como un algoritmo de cifrado débil a pesar de que no hay ataques conocidos contra él. Es cierto que es menos resistente a los intentos de fuerza bruta que algo como RSA o ECDH, pero no es necesariamente malo. Un sitio puede ofrecer una opción de conexión RC4 por razones de compatibilidad con ciertos navegadores, por lo tanto, utilice los rankings de los sitios como una guía, no una declaración de seguridad revestida de hierro o la falta de ella.
Actualizando su Cipher Suite
Hemos cubierto el fondo, ahora vamos a ensuciarnos las manos. Actualizar el conjunto de opciones que proporciona su servidor de Windows no es necesariamente sencillo, pero definitivamente tampoco es difícil.
Para comenzar, presione Windows Key + R para que aparezca el cuadro de diálogo "Ejecutar".Escriba "gpedit.msc" y haga clic en "Aceptar" para iniciar el Editor de políticas de grupo. Aquí es donde haremos nuestros cambios.
En el lado izquierdo, expanda Configuración del equipo, Plantillas administrativas, Red y luego haga clic en Configuración de configuración SSL.
En el lado derecho, haga doble clic en el pedido de SSL Cipher Suite.
De forma predeterminada, se selecciona el botón "No configurado".Haga clic en el botón "Habilitado" para editar las Suites de cifrado de su servidor.
El campo SSL Cipher Suites se completará con texto una vez que haga clic en el botón. Si desea ver qué Cipher Suites está ofreciendo actualmente su servidor, copie el texto del campo SSL Cipher Suites y péguelo en el Bloc de notas. El texto estará en una cadena larga e ininterrumpida. Cada una de las opciones de cifrado está separada por una coma. Poner cada opción en su propia línea hará que la lista sea más fácil de leer.
Puede revisar la lista y agregar o eliminar contenido de su corazón con una restricción;la lista no puede tener más de 1,023 caracteres. Esto es especialmente molesto porque las suites de cifrado tienen nombres largos como "TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P384", por lo que debe elegir cuidadosamente. Recomiendo usar la lista compilada por Steve Gibson en GRC.com: https: //www.grc.com/miscfiles/ SChannel_Cipher_Suites.txt.
Una vez que haya seleccionado su lista, debe formatearla para usarla. Al igual que la lista original, la nueva debe ser una cadena ininterrumpida de caracteres con cada cifra separada por una coma. Copie el texto formateado y péguelo en el campo SSL Cipher Suites y haga clic en Aceptar. Finalmente, para hacer que el cambio se adhiera, debes reiniciar.
Con su servidor de nuevo en funcionamiento, diríjase a SSL Labs y pruébelo. Si todo fue bien, los resultados deberían darte una calificación A.
Si desea algo un poco más visual, puede instalar Iris Crypto de Nartac( https: //www.nartac.com/Products/IISCrypto/ Default.aspx).Esta aplicación te permitirá hacer los mismos cambios que los pasos anteriores. También le permite habilitar o deshabilitar las cifras en función de una variedad de criterios para que no tenga que pasar por ellas manualmente.
No importa cómo lo haga, actualizar sus Cipher Suites es una manera fácil de mejorar la seguridad para usted y sus usuarios finales.