12Sep
Você executa um site respeitável que seus usuários podem confiar. Certo? Você pode querer verificar isso novamente. Se o seu site estiver sendo executado no Microsoft Internet Information Services( IIS), você pode estar em uma surpresa. Quando seus usuários tentam se conectar ao seu servidor através de uma conexão segura( SSL / TLS), você pode não estar fornecendo uma opção segura.
Fornecer uma melhor suite de cifra é gratuito e muito fácil de configurar. Basta seguir este guia passo a passo para proteger seus usuários e seu servidor. Você também aprenderá a testar os serviços que você usa para ver como eles realmente são seguros.
Por que suas Suites de cifra são importantes
O IIS da Microsoft é muito bom.É fácil de configurar e manter. Possui uma interface gráfica amigável que torna a configuração uma brisa. Ele é executado no Windows. O IIS realmente tem muito por isso, mas realmente cai bastante quando se trata de padrões de segurança.
Veja como funciona uma conexão segura. Seu navegador inicia uma conexão segura com um site. Isso é mais facilmente identificado por um URL que começa com "HTTPS: //".O Firefox oferece um pequeno ícone de bloqueio para ilustrar o ponto ainda mais. Chrome, Internet Explorer e Safari têm métodos semelhantes para que você saiba que sua conexão está criptografada. O servidor que você está conectando para responder ao seu navegador com uma lista de opções de criptografia para escolher na ordem do menos preferido. Seu navegador desce a lista até encontrar uma opção de criptografia que gosta e estamos em funcionamento. O resto, como eles dizem, é matemática.(Ninguém diz isso.)
A falha fatal nisso é que nem todas as opções de criptografia são criadas igualmente. Alguns usam realmente grandes algoritmos de criptografia( ECDH), outros são menos ótimos( RSA), e alguns são apenas avisados (DES).Um navegador pode se conectar a um servidor usando qualquer uma das opções que o servidor fornece. Se o seu site estiver oferecendo algumas opções ECDH, mas também algumas opções DES, seu servidor se conectará em qualquer um. O simples ato de oferecer essas malas opções de criptografia torna seu site, seu servidor e seus usuários potencialmente vulneráveis. Infelizmente, por padrão, o IIS fornece algumas opções bastante ruins. Não é catastrófico, mas definitivamente não é bom.
Como ver onde você se encontra
Antes de começar, você pode querer saber onde seu site está em pé.Felizmente, as pessoas boas da Qualys estão fornecendo SSL Labs para todos nós gratuitamente. Se você for https: //www.ssllabs.com/ssltest/, você pode ver exatamente como seu servidor está respondendo aos pedidos HTTPS.Você também pode ver como os serviços que você usa regularmente acumulam.
Uma nota de cautela aqui. Só porque um site não recebe uma classificação A não significa que as pessoas que as executam estão fazendo um trabalho ruim. O SSL Labs derruba RC4 como um algoritmo de criptografia fraco mesmo que não haja ataques conhecidos contra ele.É verdade que é menos resistente às tentativas de força bruta do que algo como RSA ou ECDH, mas não é necessariamente ruim. Um site pode oferecer uma opção de conexão RC4 por necessidade de compatibilidade com determinados navegadores, então use os rankings de sites como uma diretriz, e não uma declaração de segurança de ferro ou sua falta.
Atualizando o seu conjunto de cifras
Cobrimos o plano de fundo, agora vamos deixar nossas mãos sujas. A atualização do conjunto de opções que seu servidor Windows fornece não é necessariamente direta, mas definitivamente também não é difícil.
Para começar, pressione Windows Key + R para abrir a caixa de diálogo "Executar".Digite "gpedit.msc" e clique em "OK" para iniciar o Editor de Política de Grupo.É aqui que faremos nossas mudanças.
No lado esquerdo, expanda Configuração do computador, Modelos administrativos, Rede e, em seguida, clique em Configurações de configuração do SSL.
No lado direito, clique duas vezes em SSL Cipher Suite Order.
Por padrão, o botão "Não configurado" está selecionado. Clique no botão "Ativado" para editar o Cipher Suites do seu servidor.
O campo SSL Cipher Suites será preenchido com texto depois de clicar no botão. Se você deseja ver o que o Cipher Suites seu servidor está oferecendo atualmente, copie o texto do campo SSL Cipher Suites e cole-o no Bloco de Notas. O texto será em uma seqüência longa e ininterrupta. Cada uma das opções de criptografia é separada por uma vírgula. Colocar cada opção em sua própria linha tornará a lista mais fácil de ler.
Você pode passar pela lista e adicionar ou remover o conteúdo do seu coração com uma restrição;a lista não pode ter mais de 1.023 caracteres. Isso é especialmente irritante porque os conjuntos de cifra têm nomes longos como "TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P384", então escolha com cuidado. Eu recomendo usar a lista juntada por Steve Gibson no GRC.com: https: //www.grc.com/miscfiles/ SChannel_Cipher_Suites.txt.
Depois de curar sua lista, você deve formatá-la para uso. Como a lista original, seu novo precisa ser uma série de caracteres ininterruptos com cada cifra separada por uma vírgula. Copie seu texto formatado e cole-o no campo SSL Cipher Suites e clique em OK.Finalmente, para fazer a mudança, você deve reiniciar.
Com o seu servidor de volta e funcionando, vá até SSL Labs e teste-o. Se tudo correu bem, os resultados devem dar-lhe uma classificação A.
Se você quiser algo um pouco mais visual, você pode instalar o IIS Crypto por Nartac( https: //www.nartac.com/Products/IISCrypto/ Default.aspx).Esta aplicação permitirá que você faça as mesmas mudanças que as etapas acima. Ele também permite que você habilite ou desative as configurações com base em uma variedade de critérios para que você não precise passá-los manualmente.
Não importa como você faça isso, atualizar o seu Cipher Suites é uma maneira fácil de melhorar a segurança para você e seus usuários finais.