12Sep
Käytät kunnioitettavaa verkkosivustoa, jonka käyttäjät voivat luottaa. Oikea? Haluat ehkä tarkistaa tämän. Jos sivustosi toimii Microsoft Internet Information Services( IIS) -palvelussa, saatat olla yllätyksenä.Kun käyttäjät yrittävät muodostaa yhteyden palvelimeen suojatun yhteyden( SSL / TLS) kautta, et voi tarjota heille turvallista vaihtoehtoa.
Parempi salaus-sarja on ilmainen ja melko helppo asentaa. Seuraa vain tätä vaiheittaista ohjetta käyttäjien ja palvelimen suojaamiseksi. Opit myös kokeilemaan palveluita, joita käytät nähdäksesi kuinka turvallisia he todella ovat.
Miksi Cipher Suites ovat tärkeitä
Microsoftin IIS on aika hieno. Se on helppo asentaa ja ylläpitää.Se on helppokäyttöinen graafinen käyttöliittymä, joka tekee konfiguroinnista tuulen. Se toimii Windowsissa. IIS: llä on todella paljon tehtävää, mutta se on todella tasainen, kun kyse on tietoturva-oletuksista.
Näin suojattu yhteys toimii. Selaimesi aloittaa turvallisen yhteyden sivustolle. Tämä tunnistetaan helposti URL-osoitteella, joka alkaa "HTTPS: //" -ohjelmasta. Firefox tarjoaa hieman lukkokuvaketta, joka havainnollistaa pistettä edelleen. Chrome, Internet Explorer ja Safari ovat samankaltaisia tapoja kertoa, että yhteys on salattu. Palvelimesi, johon yhdistät, vastaa selaimeen ja sisältää salausvaihtoehtoja, joista valita kaikkein edullisimmin vähiten. Selaimesi menee alas luetteloon, kunnes se löytää salausvaihtoehdon, jota se pitää, ja olemme poissa käytöstä.Loput, kuten sanotaan, ovat matematiikka.(Kukaan ei sano sitä.)
Tässä kuolevainen virhe on se, että kaikkia salausvaihtoehtoja ei luoda yhtäläisesti. Jotkut käyttävät todella hyviä salausalgoritmeja( ECDH), toiset eivät ole yhtä hyviä( RSA), ja jotkut ovat vain huonosti neuvotut( DES).Selaimella voi muodostaa yhteyden palvelimeen käyttämällä mitä tahansa palvelimen tarjoamista vaihtoehdoista. Jos sivustosi tarjoaa joitain ECDH-vaihtoehtoja, mutta myös joitain DES-vaihtoehtoja, palvelin muodostaa yhteyden joko. Yksinkertainen toimenpide näiden huonoiden salausasetusten tarjoamisesta tekee sivustostasi, palvelimellesi ja käyttäjillesi mahdollisesti haavoittuvuuden. Valitettavasti IIS tarjoaa oletettavasti melko huonoja vaihtoehtoja. Ei katastrofaalinen, mutta varmasti ole hyvä.
Kuinka katselet, mihin asentat
Ennen aloittamista saatat haluta tietää, mistä sivustosi on. Onneksi Qualysin hyvät ihmiset tarjoavat SSL Labsille kaikille meille ilmaiseksi. Jos siirryt osoitteeseen https: //www.ssllabs.com/ssltest/, näet tarkalleen miten palvelin vastaa HTTPS-pyyntöihin. Voit myös nähdä, miten palvelut käytät säännöllisesti pinota.
Yksi huomautus varovaisuudesta täällä.Ainoastaan siksi, että sivusto ei saa A-luokitus ei tarkoita sitä, että ihmiset, jotka käyttävät niitä, tekevät huonoa työtä.SSL Labs sulkee RC4: n heikoksi salausalgoritmiksi, vaikka sitä vastaan ei ole tunnettuja iskuja. Totta, se on vähemmän kestävää kuin raa'at voimayritykset kuin RSA tai ECDH, mutta se ei ole välttämättä paha. Sivusto voi tarjota RC4-yhteysvaihtoehdon välttämättömyyden yhteensopivuuden tiettyjen selainten kanssa, joten käytä sivustojen rankingissa ohjeita, ei raudanvärisiä turvallisuusilmoituksia tai niiden puutteita.
Cipher Suite
päivittäminen Olemme peittäneet tausta, nyt päästä käsiksi likaan. Windows-palvelimen tarjoamien lisävarusteiden päivittäminen ei välttämättä ole helppoa, mutta se ei todellakaan ole kovaa.
Käynnistä painamalla Windows-näppäin + R saadaksesi "Suorita" -valintaikkunan. Kirjoita "gpedit.msc" ja napsauta "OK" käynnistääksesi ryhmäkäytäntöeditori. Tässä teemme muutoksemme.
Napsauta vasemmalla puolella Tietokoneen kokoonpano, Hallintomallit, Verkko ja sitten SSL-määritysasetukset.
Kaksoisnapsauta oikealla puolella olevaa SSL Cipher Suite Orderia.
Oletusasetuksena on "Ei konfiguroitu" -painike valittu. Napsauta "Käytössä" -näppäintä muokataksesi palvelimen Cipher Suitesia.
SSL Cipher Suites -kentässä täytetään teksti, kun napsautat painiketta. Jos haluat nähdä, mitä Cipher Suites palvelimesi tarjoaa tällä hetkellä, kopioi teksti SSL Cipher Suites -kenttään ja liitä se Notepadiin. Teksti tulee olemaan yksi pitkä, katkottu merkkijono. Kukin salausvaihtoehto on erotettu pilkulla. Jokaisen vaihtoehdon asettaminen omalle riville tekee listasta helpommin lukea.
Voit mennä läpi listan ja lisätä tai poistaa sydämesi sisältöön yhdellä rajoituksella.luettelo ei saa olla yli 1023 merkkiä.Tämä on erityisen ärsyttävää, koska salausalheissamme on pitkät nimitykset, kuten "TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P384", joten valitset huolella. Suosittelen käyttämään listan, jonka Steve Gibson laati yhteen osoitteessa GRC.com: https: //www.grc.com/miscfiles/ SChannel_Cipher_Suites.txt.
Kun olet kurittanut luettelosi, sinun on muotoiltava se käytettäväksi. Alkuperäisen luettelon tavoin uuden teoksen on oltava yksi yhtenäinen merkkijono, jonka jokainen salas- sa erotetaan pilkulla. Kopioi muotoiltu teksti ja liitä se SSL Cipher Suites -kenttiin ja napsauta OK.Lopuksi, jotta muutos pysyy kiinni, sinun on käynnistettävä uudelleen.
Kun palvelin on käynnissä, käynnistä SSL Labs ja testaa se. Jos kaikki meni hyvin, tulokset antavat sinulle A-luokituksen.
Jos haluat jotain hieman visuaalisempaa, voit asentaa IIS Crypton Nartac-ohjelmaan( https: //www.nartac.com/Products/IISCrypto/ Default.aspx).Tämän sovelluksen avulla voit tehdä samoja muutoksia kuin yllä olevat vaiheet. Sen avulla voit myös ottaa käyttöön tai poistaa käytöstä salakirjoituksia erilaisten kriteerien perusteella, joten sinun ei tarvitse käydä niitä manuaalisesti.
Cipher Suites -ohjelmiston päivittäminen on helppo tapa parantaa turvallisuutta sinulle ja loppukäyttäjille.