12Sep
Anda menjalankan situs web terhormat yang dapat dipercaya oleh pengguna Anda. Kanan? Anda mungkin ingin memeriksa ulang itu. Jika situs Anda berjalan di Microsoft Internet Information Services( IIS), Anda mungkin akan terkejut. Saat pengguna mencoba tersambung ke server melalui sambungan aman( SSL / TLS), Anda mungkin tidak memberikan opsi yang aman kepada Anda.
Menyediakan cipher suite yang lebih baik adalah gratis dan cukup mudah untuk setup. Ikuti panduan langkah demi langkah ini untuk melindungi pengguna dan server Anda. Anda juga akan belajar bagaimana menguji layanan yang Anda gunakan untuk melihat seberapa aman mereka sebenarnya.
Mengapa Suite Cipher Anda Penting
Microsoft IIS cukup hebat. Ini mudah untuk setup dan pemeliharaan. Ini memiliki antarmuka grafis yang user friendly yang membuat konfigurasi mudah. Ini berjalan di Windows. IIS benar-benar telah banyak terjadi untuk itu, tapi benar-benar jatuh datar ketika datang ke default keamanan.
Inilah cara kerja koneksi aman. Browser Anda memulai koneksi aman ke situs. Ini paling mudah dikenali oleh URL yang dimulai dengan "HTTPS: //".Firefox menawarkan ikon kunci kecil untuk mengilustrasikannya lebih jauh. Chrome, Internet Explorer, dan Safari semuanya memiliki metode yang sama untuk memberi tahu bahwa koneksi Anda dienkripsi. Server yang Anda sambungkan untuk membalas ke browser Anda dengan daftar opsi enkripsi untuk dipilih dengan urutan yang paling disukai paling sedikit. Browser Anda turun daftar sampai menemukan opsi enkripsi yang disukai dan kami tidak aktif dan berjalan. Selebihnya, seperti yang mereka katakan, adalah matematika.(Tidak ada yang mengatakan itu.)
Kesalahan fatal dalam hal ini adalah tidak semua pilihan enkripsi diciptakan sama. Beberapa menggunakan algoritma enkripsi yang benar-benar hebat( ECDH), yang lainnya kurang hebat( RSA), dan beberapa hanya disarankan dengan buruk( DES).Browser dapat terhubung ke server menggunakan salah satu opsi yang disediakan server. Jika situs Anda menawarkan beberapa opsi ECDH, namun juga beberapa pilihan DES, server Anda juga akan terhubung. Tindakan sederhana untuk menawarkan opsi enkripsi yang buruk ini membuat situs Anda, server Anda, dan pengguna Anda berpotensi rentan. Sayangnya, secara default, IIS menyediakan beberapa pilihan yang sangat buruk. Bukan bencana, tapi jelas tidak bagus.
Bagaimana Melihat Ke Mana Anda Berdiri
Sebelum memulai, mungkin Anda ingin mengetahui di mana letak situs Anda. Untungnya orang-orang baik di Qualys menyediakan SSL Labs untuk kita semua secara gratis. Jika Anda membuka https: //www.ssllabs.com/ssltest/, Anda dapat melihat dengan tepat bagaimana server Anda merespons permintaan HTTPS.Anda juga dapat melihat bagaimana layanan yang Anda gunakan secara teratur menumpuk.
Satu nada hati-hati di sini. Hanya karena sebuah situs tidak menerima rating A tidak berarti orang-orang yang menjalankannya melakukan pekerjaan yang buruk. SSL Labs membanting RC4 sebagai algoritma enkripsi yang lemah meskipun tidak ada serangan yang diketahui terhadapnya. Benar, ini kurang tahan terhadap upaya brute force daripada sesuatu seperti RSA atau ECDH, tapi tidak selalu buruk. Sebuah situs mungkin menawarkan opsi koneksi RC4 karena kebutuhan akan kompatibilitas dengan browser tertentu sehingga menggunakan peringkat situs sebagai pedoman, bukan pernyataan keamanan yang tidak sesuai dengan besi atau kekurangannya.
Memperbarui Suite Cipher Anda
Kami telah membahas latar belakangnya, sekarang mari kita tangani kotor. Memperbarui rangkaian pilihan yang disediakan oleh server Windows Anda tidak harus langsung, tapi pasti tidak sulit juga.
Untuk memulai, tekan Windows Key + R untuk membuka kotak dialog "Run".Ketik "gpedit.msc" dan klik "OK" untuk meluncurkan Group Policy Editor. Di sinilah kita akan membuat perubahan kita.
Di sisi kiri, rentangkan Konfigurasi Komputer, Template Administratif, Jaringan, lalu klik pada Pengaturan Konfigurasi SSL.
Di sisi kanan, klik dua kali pada SSL Cipher Suite Order.
Secara default, tombol "Tidak Dikonfigurasi" dipilih. Klik pada tombol "Enabled" untuk mengedit Cipher Suites server Anda.
Field SSL Cipher Suites akan diisi dengan teks begitu Anda mengklik tombolnya. Jika Anda ingin melihat server Cipher Suites yang saat ini Anda tawarkan, salin teks dari kolom SSL Cipher Suites dan tempelkan ke Notepad. Teks akan dalam satu string panjang dan tak terputus. Masing-masing opsi enkripsi dipisahkan dengan tanda koma. Menempatkan setiap pilihan pada jalurnya sendiri akan membuat daftar lebih mudah dibaca.
Anda bisa membaca daftar dan menambahkan atau menghapus konten hati Anda dengan satu batasan;daftar tidak boleh lebih dari 1.023 karakter. Hal ini sangat mengganggu karena suite cipher memiliki nama panjang seperti "TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P384", jadi pilihlah dengan saksama. Saya sarankan menggunakan daftar yang disatukan oleh Steve Gibson di GRC.com: https: //www.grc.com/miscfiles/ SChannel_Cipher_Suites.txt.
Begitu Anda sudah mencantumkan daftar Anda, Anda harus memformatnya untuk digunakan. Seperti daftar aslinya, yang baru Anda perlu menjadi satu string karakter yang tidak terputus dengan masing-masing cipher yang dipisahkan oleh koma. Salin teks berformat Anda dan tempelkan ke kolom SSL Cipher Suites dan klik OK.Akhirnya, untuk membuat ganti tongkat, Anda harus melakukan reboot.
Dengan server Anda kembali berdiri dan berjalan, pergilah ke Lab SSL dan ujilah. Jika semuanya berjalan dengan baik, hasilnya akan memberi Anda nilai A.
Jika Anda menginginkan sesuatu yang sedikit lebih visual, Anda dapat menginstal IIS Crypto oleh Nartac( https: //www.nartac.com/Products/IISCrypto/ Default.aspx).Aplikasi ini akan memungkinkan Anda melakukan perubahan yang sama seperti langkah-langkah di atas. Ini juga memungkinkan Anda mengaktifkan atau menonaktifkan ciphers berdasarkan berbagai kriteria sehingga Anda tidak perlu melakukannya secara manual.
Tidak masalah bagaimana Anda melakukannya, memperbarui Suite Cipher Anda adalah cara mudah untuk meningkatkan keamanan bagi Anda dan pengguna akhir Anda.