12Sep
U voert een respectabele website uit die uw gebruikers kunnen vertrouwen. Rechts? Misschien wil je dat twee keer controleren. Als uw site op Microsoft Internet Information Services( IIS) wordt uitgevoerd, kunt u een verrassing verwachten. Wanneer uw gebruikers proberen verbinding te maken met uw server via een beveiligde verbinding( SSL / TLS), biedt u hen mogelijk geen veilige optie.
Het aanbieden van een betere coderingssuite is gratis en vrij eenvoudig in te stellen. Volg deze stapsgewijze handleiding om uw gebruikers en uw server te beschermen. U leert ook hoe u de services die u gebruikt, kunt testen om te zien hoe veilig ze werkelijk zijn.
Waarom uw Cipher-suites belangrijk zijn
IIS van Microsoft is best wel goed. Het is eenvoudig in te stellen en te onderhouden. Het heeft een gebruiksvriendelijke grafische interface die de configuratie een fluitje van een cent maakt. Het werkt op Windows. IIS heeft echt veel te bieden, maar valt echt plat als het gaat om beveiligingsinstellingen.
Hier leest u hoe een beveiligde verbinding werkt. Uw browser start een beveiligde verbinding met een site. Dit wordt het gemakkelijkst geïdentificeerd door een URL die begint met "HTTPS: //".Firefox biedt een klein hangslotpictogram om het punt verder te illustreren. Chrome, Internet Explorer en Safari hebben allemaal vergelijkbare methoden om u te laten weten dat uw verbinding is gecodeerd. De server waarmee u verbinding maakt, geeft antwoord op uw browser met een lijst met coderingsopties waaruit u kunt kiezen in de volgorde van de meest gewenste tot de minstste. Uw browser gaat door de lijst totdat een gewenste versleutelingsoptie wordt gevonden en we zijn uitgeschakeld. De rest, zoals ze zeggen, is wiskunde.(Niemand zegt dat.)
De fatale fout hierin is dat niet alle versleutelingsopties gelijk worden gecreëerd. Sommige gebruiken echt geweldige versleutelingsalgoritmen( ECDH), andere zijn minder groot( RSA) en sommige zijn slechts slecht geadviseerd( DES).Een browser kan verbinding maken met een server via een van de opties die de server biedt. Als uw site enkele ECDH-opties biedt, maar ook sommige DES-opties, maakt uw server verbinding met een van beide. De simpele handeling van het aanbieden van deze slechte coderingsopties maakt uw site, uw server en uw gebruikers potentieel kwetsbaar. Helaas biedt IIS standaard nogal slechte opties. Niet catastrofaal, maar zeker niet goed.
Waar kunt u zien Waar u staat
Voordat we beginnen, wilt u wellicht weten waar uw site staat. Gelukkig bieden de goede mensen van Qualys gratis SSL Labs aan iedereen. Als u naar https: //www.ssllabs.com/ssltest/ gaat, kunt u precies zien hoe uw server reageert op HTTPS-aanvragen. U kunt ook zien hoe de services die u gebruikt regelmatig worden opgestart.
Een waarschuwing hier. Alleen omdat een site geen A-rating ontvangt, betekent niet dat de mensen die ze gebruiken slecht werk doen. SSL Labs beschrijft RC4 als een zwak versleutelingsalgoritme, hoewel er geen bekende aanvallen tegen zijn. Toegegeven, het is minder resistent tegen brute force-pogingen dan iets als RSA of ECDH, maar het is niet per se slecht. Een site kan een RC4-verbindingsoptie aanbieden uit noodzaak voor compatibiliteit met bepaalde browsers, dus gebruik de ranglijsten van de sites als richtlijn, geen ijzeren verklaring van veiligheid of gebrek daaraan.
Uw coderingssuite updaten
We hebben de achtergrond besproken, laten we nu onze handen vies maken. Het bijwerken van de reeks opties die uw Windows-server biedt is niet noodzakelijk eenvoudig, maar het is zeker ook niet moeilijk.
Druk om te beginnen op Windows-toets + R om het dialoogvenster "Uitvoeren" te openen. Typ "gpedit.msc" en klik op "OK" om de Groepsbeleid-editor te starten. Dit is waar we onze wijzigingen zullen aanbrengen.
Vouw aan de linkerkant Computerconfiguratie, Beheersjablonen, Netwerk uit en klik vervolgens op SSL-configuratie-instellingen.
Klik aan de rechterkant dubbel op SSL Cipher Suite Order.
Standaard is de knop "Niet geconfigureerd" geselecteerd. Klik op de knop "Ingeschakeld" om de Cipher Suites van uw server te bewerken.
Het veld SSL Cipher Suites vult met tekst als u op de knop klikt. Als u wilt zien wat Cipher Suites momenteel door uw server wordt aangeboden, kopieer de tekst dan uit het SSL Cipher Suites-veld en plak deze in Kladblok. De tekst bevindt zich in een lange, ononderbroken reeks. Elk van de coderingsopties wordt gescheiden door een komma. Als u elke optie op een eigen regel zet, wordt de lijst gemakkelijker leesbaar.
U kunt de lijst doorlopen en met één beperking naar hartelust toevoegen of verwijderen;de lijst mag niet meer dan 1.023 tekens bevatten. Dit is vooral vervelend omdat de versleutelingssuites lange namen hebben zoals "TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P384", dus kies zorgvuldig. Ik raad aan de lijst te gebruiken die door Steve Gibson is samengesteld op GRC.com: https: //www.grc.com/miscfiles/ SChannel_Cipher_Suites.txt.
Nadat u uw lijst hebt samengesteld, moet u deze formatteren voor gebruik. Net als de oorspronkelijke lijst, moet je nieuwe één ongebroken reeks tekens zijn, waarbij elk cijfer wordt gescheiden door een komma. Kopieer de opgemaakte tekst en plak deze in het SSL Cipher Suites-veld en klik op OK.Tot slot, om de wijziging te laten doorgaan, moet je opnieuw opstarten.
Ga met uw server weer aan de slag naar SSL Labs en test het. Als alles goed is gegaan, zouden de resultaten u een A-beoordeling moeten geven.
Als u iets meer visueel wilt, kunt u IIS Crypto van Nartac installeren( https: //www.nartac.com/Products/IISCrypto/ Default.aspx).Met deze applicatie kunt u dezelfde wijzigingen aanbrengen als bij de bovenstaande stappen. Het laat je ook toe om cijfers in of uit te schakelen op basis van verschillende criteria, zodat je ze niet handmatig hoeft te doorlopen.
Ongeacht hoe u het doet, het bijwerken van uw Cipher Suites is een eenvoudige manier om de veiligheid voor u en uw eindgebruikers te verbeteren.