12Sep
Desfășurați un site respectabil pe care utilizatorii dvs. pot avea încredere. Dreapta? S-ar putea să încercați să verificați acest lucru. Dacă site-ul dvs. rulează pe Microsoft Internet Information Services( IIS), s-ar putea să fiți surprins. Când utilizatorii dvs. încearcă să se conecteze la serverul dvs. printr-o conexiune securizată( SSL / TLS), este posibil să nu le oferiți o opțiune sigură.
Furnizarea unei suite de cifre mai bună este gratuită și ușor de instalat. Doar urmați acest ghid pas cu pas pentru a vă proteja utilizatorii și serverul. De asemenea, veți învăța cum să testați serviciile pe care le utilizați pentru a vedea cât de sigure sunt într-adevăr.
De ce suitele dvs. Cipher sunt importante
IIS Microsoft este destul de mare. Este atât ușor de configurat și de întreținut. Are o interfață grafică ușor de utilizat, care face ca configurația să fie o briză.Se execută pe Windows. IIS are într-adevăr o mulțime de lucruri pentru ea, dar într-adevăr se prăbușește atunci când vine vorba de implicațiile de securitate.
Iată cum funcționează o conexiune securizată.Browserul dvs. inițiază o conexiune securizată către un site. Acest lucru este cel mai ușor de identificat printr-un URL care începe cu "HTTPS: //".Firefox oferă o mică pictogramă de blocare pentru a ilustra punctul în continuare. Chrome, Internet Explorer și Safari au toate metode similare de a vă anunța că conexiunea dvs. este criptată.Serverul pe care îl conectați la răspunsuri la browserul dvs. cu o listă de opțiuni de criptare pentru a alege de la cel mai preferat la cel mai mic. Browserul dvs. coboară în listă până când găsește o opțiune de criptare pe care o apreciază și suntem dezactivate. Restul, după cum se spune, este matematică.(Nimeni nu spune asta.)
Defecțiunea fatală în acest caz este că nu toate opțiunile de criptare sunt create în mod egal. Unii folosesc algoritmi de criptare cu adevărat grozavi( ECDH), alții sunt mai puțin buni( RSA), iar unii sunt doar prost sfătuiți( DES).Un browser poate conecta la un server utilizând oricare dintre opțiunile pe care le oferă serverul. Dacă site-ul dvs. oferă unele opțiuni ECDH, dar și unele opțiuni DES, serverul dvs. se va conecta la oricare dintre acestea. Simplul act de oferire a acestor opțiuni de criptare proastă face posibil ca site-ul dvs., serverul dvs. și utilizatorii dvs. să fie vulnerabili. Din păcate, în mod implicit, IIS oferă câteva opțiuni destul de slabe. Nu catastrofală, dar cu siguranță nu bună.
Cum să vedeți unde stați
Înainte de a începe, ați putea dori să știți unde este site-ul dvs. Din fericire, cei buni de la Qualys furnizează gratuit tuturor laboratoarelor SSL.Dacă accesați https: //www.ssllabs.com/ssltest/, puteți vedea exact cum răspunde serverul dvs. la cererile HTTPS.De asemenea, puteți vedea cum se utilizează în mod regulat serviciile pe care le utilizați.
O notă de precauție aici. Doar pentru că un site nu primește un rating A nu înseamnă că oamenii care le execută fac o treabă proastă.SSL Labs slabește RC4 ca un algoritm de criptare slab, deși nu există atacuri cunoscute împotriva acestuia. Este adevărat că este mai puțin rezistent la tentativele de forță brutale decât ceva ca RSA sau ECDH, dar nu este neapărat rău. Un site poate oferi o opțiune de conectare RC4 din necesitate pentru compatibilitate cu anumite browsere, astfel încât să se utilizeze clasamentele site-urilor drept îndrumare, nu o declarație de securitate sau o lipsă a securității.
Actualizarea sufrageriei dvs.
Am acoperit fundalul, acum să ne murdărim mâinile. Actualizarea setului de opțiuni pe care le oferă serverul Windows nu este neapărat simplu, dar cu siguranță nu este greu.
Pentru a începe, apăsați Windows Key + R pentru a afișa caseta de dialog "Run".Introduceți "gpedit.msc" și faceți clic pe "OK" pentru a lansa Editorul politicilor de grup. Aici vom face schimbările.
În partea stângă, extindeți Configurare computer, Șabloane administrative, Rețea și apoi faceți clic pe Setări de configurare SSL.
În partea dreaptă, faceți dublu clic pe comanda SSL Cipher Suite.
În mod prestabilit, este selectat butonul "Nu este configurat".Faceți clic pe butonul "Activat" pentru a edita Cipher Suites.
Câmpul SSL Cipher Suites se va umple cu text odată ce faceți clic pe buton. Dacă doriți să vedeți ce oferă Cipher Suites serverul dvs., copiați textul din câmpul SSL Cipher Suites și inserați-l în Notepad. Textul va fi într-un șir lung, neîntrerupt. Fiecare dintre opțiunile de criptare este separată de o virgulă.Punerea fiecărei opțiuni pe propria linie va face lista mai ușor de citit.
Puteți trece prin listă și adăuga sau elimina în conținutul inimii dvs. cu o singură restricție;lista nu poate fi mai mare de 1023 de caractere. Acest lucru este deosebit de enervant, deoarece suitele de cifre au nume lungi precum "TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P384", deci alegeți cu atenție. Vă recomandăm să folosiți lista de la Steve Gibson de la GRC.com: https: //www.grc.com/miscfiles/ SChannel_Cipher_Suites.txt.
Odată ce ați pregătit lista, trebuie să o formatați pentru utilizare. Ca și lista originală, noua ta trebuie să fie un șir de caractere neîntrerupte, fiecare cifru fiind separat de o virgulă.Copiați textul formatat și inserați-l în câmpul SSL Cipher Suites și faceți clic pe OK.În cele din urmă, pentru a face stickul de schimbare, trebuie să reporniți.
Cu serverul dvs. de backup și de funcționare, mergeți la SSL Labs și testați-l. Dacă totul a mers bine, rezultatele ar trebui să dea un rating A.
Dacă doriți ceva mai vizibil, puteți instala IIS Crypto de către Nartac( https: //www.nartac.com/Products/IISCrypto/ Default.aspx).Această aplicație vă va permite să faceți aceleași modificări ca și pașii de mai sus. De asemenea, vă permite să activați sau să dezactivați cipurile pe baza unei varietăți de criterii, astfel încât să nu trebuiască să le treceți manual.
Indiferent de modul în care faceți acest lucru, actualizarea Cipher Suites este o modalitate ușoară de a îmbunătăți securitatea pentru dvs. și utilizatorii finali.
