12Sep
Vous exécutez un site Web respectable que vos utilisateurs peuvent faire confiance. Droite? Vous pourriez vouloir vérifier cela. Si votre site fonctionne sur Microsoft Internet Information Services( IIS), vous pourriez être surpris. Lorsque vos utilisateurs essaient de se connecter à votre serveur via une connexion sécurisée( SSL / TLS), il se peut que vous ne leur fournissiez pas une option sûre.
Fournir une meilleure suite de chiffrement est gratuit et assez facile à installer. Suivez simplement ce guide étape par étape pour protéger vos utilisateurs et votre serveur. Vous apprendrez également comment tester les services que vous utilisez pour voir à quel point ils sont réellement sécuritaires.
Pourquoi vos suites de chiffrement sont importantes
L'IIS de Microsoft est plutôt génial. C'est facile à installer et à entretenir. Il dispose d'une interface graphique conviviale qui facilite la configuration. Il fonctionne sur Windows. IIS a vraiment beaucoup de choses à faire, mais tombe vraiment à plat quand il s'agit de défauts de sécurité.
Voici comment fonctionne une connexion sécurisée. Votre navigateur initie une connexion sécurisée à un site. Ceci est plus facilement identifié par une URL commençant par "HTTPS: //".Firefox propose une petite icône de cadenas pour illustrer le point plus loin. Chrome, Internet Explorer et Safari ont tous des méthodes similaires pour vous informer que votre connexion est cryptée. Le serveur auquel vous vous connectez répond à votre navigateur avec une liste d'options de chiffrement à choisir dans l'ordre du plus préféré au moins. Votre navigateur descend dans la liste jusqu'à ce qu'il trouve une option de cryptage qu'il aime et nous sommes en marche. Le reste, comme on dit, c'est les mathématiques.(Personne ne dit cela.)
La faille fatale de ceci est que toutes les options de cryptage ne sont pas créées de manière égale. Certains utilisent des algorithmes de cryptage vraiment géniaux( ECDH), d'autres sont moins performants( RSA) et d'autres ne sont que mal conseillés( DES).Un navigateur peut se connecter à un serveur en utilisant l'une des options fournies par le serveur. Si votre site propose des options ECDH mais aussi des options DES, votre serveur se connecte sur l'un ou l'autre. Le simple fait d'offrir ces mauvaises options de chiffrement rend votre site, votre serveur et vos utilisateurs potentiellement vulnérables. Malheureusement, par défaut, IIS fournit des options assez médiocres. Pas catastrophique, mais certainement pas bon.
Comment voir où vous vous tenez
Avant de commencer, vous voudrez peut-être savoir où se trouve votre site. Heureusement, les bonnes personnes de Qualys fournissent gratuitement des SSL Labs à tous. Si vous allez à https: //www.ssllabs.com/ssltest/, vous pouvez voir exactement comment votre serveur répond aux demandes HTTPS.Vous pouvez également voir comment les services que vous utilisez régulièrement s'empilent.
Une note de prudence ici. Le fait qu'un site ne reçoive pas une note A ne signifie pas que les gens qui les utilisent font un mauvais travail. SSL Labs critique RC4 en tant qu'algorithme de chiffrement faible, même s'il n'existe aucune attaque connue contre ce dernier. Certes, il est moins résistant aux tentatives de force brute que quelque chose comme RSA ou ECDH, mais ce n'est pas nécessairement mauvais. Un site peut offrir une option de connexion RC4 par nécessité pour la compatibilité avec certains navigateurs, alors utilisez le classement des sites comme une ligne directrice, pas une déclaration de sécurité blindée ou son absence.
Mise à jour de votre suite de chiffrement
Nous avons couvert l'arrière-plan, maintenant nous allons nous salir les mains. La mise à jour de la suite d'options fournie par votre serveur Windows n'est pas forcément simple, mais elle n'est certainement pas difficile non plus.
Pour commencer, appuyez sur la touche Windows + R pour faire apparaître la boîte de dialogue "Exécuter".Tapez "gpedit.msc" et cliquez sur "OK" pour lancer l'éditeur de stratégie de groupe. C'est ici que nous ferons nos changements.
Sur le côté gauche, développez Configuration de l'ordinateur, Modèles d'administration, Réseau, puis cliquez sur Paramètres de configuration SSL.
Sur le côté droit, double-cliquez sur SSL Cipher Suite Order.
Par défaut, le bouton "Non configuré" est sélectionné.Cliquez sur le bouton "Enabled" pour éditer les suites de chiffrement de votre serveur.
Le champ SSL Cipher Suites se remplira de texte une fois que vous aurez cliqué sur le bouton. Si vous souhaitez voir les suites de chiffrement proposées par votre serveur, copiez le texte à partir du champ Suites de chiffrement SSL et collez-le dans le bloc-notes. Le texte sera en une longue chaîne ininterrompue. Chacune des options de chiffrement est séparée par une virgule. Mettre chaque option sur sa propre ligne rendra la liste plus facile à lire.
Vous pouvez parcourir la liste et ajouter ou supprimer le contenu de votre coeur avec une restriction;la liste ne peut pas contenir plus de 1 023 caractères. Ceci est particulièrement gênant parce que les suites de chiffrement ont des noms longs comme "TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P384", alors choisissez avec soin. Je recommande d'utiliser la liste mise en place par Steve Gibson sur GRC.com: https: //www.grc.com/miscfiles/ SChannel_Cipher_Suites.txt.
Une fois que vous avez organisé votre liste, vous devez la formater pour l'utiliser. Comme la liste originale, votre nouvelle doit être une chaîne de caractères ininterrompue avec chaque chiffre séparé par une virgule. Copiez le texte mis en forme et collez-le dans le champ SSL Cipher Suites, puis cliquez sur OK.Enfin, pour que le changement reste, vous devez redémarrer.
Avec votre serveur en marche, rendez-vous sur SSL Labs et testez-le. Si tout s'est bien passé, les résultats devraient vous donner une note A.
Si vous voulez quelque chose d'un peu plus visuel, vous pouvez installer IIS Crypto par Nartac( https: //www.nartac.com/Products/IISCrypto/ Default.aspx).Cette application vous permettra de faire les mêmes changements que les étapes ci-dessus. Il vous permet également d'activer ou de désactiver les chiffrements en fonction d'une variété de critères, de sorte que vous n'avez pas à les parcourir manuellement.
Peu importe comment vous le faites, la mise à jour de vos suites de chiffrement est un moyen facile d'améliorer la sécurité pour vous et vos utilisateurs finaux.