12Sep
Vodite urejeno spletno mesto, na katerega lahko zaupajo vaši uporabniki. Prav? Morda boste želeli dvakrat preveriti to.Če se vaše spletno mesto izvaja v Microsoftovih internetnih informacijskih storitvah( IIS), boste morda presenečeni. Ko se uporabniki poskušajo povezati s svojim strežnikom prek varne povezave( SSL / TLS), jim morda ne zagotovite varne možnosti.
Zagotavljanje boljšega šifriranja je brezplačno in enostavno za namestitev. Samo korak za korakom vodnik za zaščito vaših uporabnikov in vašega strežnika. Naučili se boste tudi, kako testirati storitve, ki jih uporabljate, da vidite, kako varni so.
Zakaj so vaši Cipher Suites pomembni
Microsoftova IIS je precej super. Tako enostavno je nastaviti in vzdrževati. Ima uporabniku prijazen grafični vmesnik, ki omogoča konfiguracijo vetra. Teče v sistemu Windows. IIS resnično veliko dela za to, vendar resnično pade ravno, ko gre za varnostne privzete.
Tako deluje varna povezava. Vaš brskalnik sproži varno povezavo na spletno mesto. To je najlažje prepoznati po URL-ju, ki se začne z "HTTPS: //".Firefox ponuja malo ikono za zaklepanje, da ponazori točko. Chrome, Internet Explorer in Safari imajo podobne načine, da vam sporočijo, da je vaša povezava šifrirana. Strežnik, s katerim se povežete z odgovori v svoj brskalnik, s seznamom možnosti šifriranja, ki jih lahko izbirate po vrstnem redu najprimernejšega. Vaš brskalnik se spusti s seznama, dokler ne najde možnosti šifriranja, ki je všeč, in mi smo izključeni in tečejo. Preostanek, kot pravijo, je matematika.(Nihče to ne pravi.)
Usmerjevalna napaka v tem je, da niso vse enkripcijske možnosti ustvarjene enako. Nekateri uporabljajo zelo dobre algoritme za šifriranje( ECDH), drugi so manj dobri( RSA), nekateri pa so slabo obveščeni( DES).Brskalnik se lahko poveže s strežnikom z uporabo katere koli možnosti, ki jo nudi strežnik.Če vaša spletna stran ponuja nekatere možnosti ECDH, pa tudi nekatere možnosti DES, se bo vaš strežnik povezal tudi z njimi. Preprost akt ponujanja teh slabih možnosti šifriranja omogoča vaše spletno mesto, vaš strežnik in vaše uporabnike potencialno ranljive. Na žalost, IIS ponuja privzeto veliko slabih možnosti. Ni katastrofalno, vendar zagotovo ni dobro.
Kako videti, kje stojite
Preden začnemo, boste morda želeli vedeti, kje je vaše spletno mesto. K sreči dobri ljudje v podjetju Qualys zagotavljajo SSL Labs za vse nas brezplačno.Če greste v https: //www.ssllabs.com/ssltest/, lahko natančno vidite, kako se vaš strežnik odziva na zahteve HTTPS.Vidite lahko tudi, kako redno uporabljate storitve, ki jih uporabljate.
Ena opozorila tukaj. Samo zato, ker spletno mesto ne prejme ratinga A, ne pomeni, da ljudje tečejo slabo delo. SSL Labs udari RC4 kot šibko algoritem šifriranja, čeprav ni znanih napadov proti njemu. Res je, da je manj odporen proti poskusom sile z močjo, kot je nekaj podobnega RSA ali ECDH, vendar ni nujno slabo. Spletna stran lahko ponudi RC4 možnost povezave, ki je nujna za združljivost z nekaterimi brskalniki, tako da uporabite uvrstitev spletnih mest kot smernico, ne pa železa, ki je oblečena z varnostjo ali pomanjkanjem le-te.
Posodabljanje vašega Cipher Suite
V ozadju smo zajeli, zdaj pa si umazati roke. Posodabljanje zbirke možnosti, ki vam ga ponuja strežnik Windows, ni nujno preprosto, vendar zagotovo ni težko.
Za začetek pritisnite tipko Windows + R, da odprete pogovorno okno »Zaženi«.Vnesite »gpedit.msc« in kliknite »V redu«, da zaženete urejevalnik pravilnika skupine. Tukaj bomo naredili spremembe.
Na levi strani razširite konfiguracijo računalnika, skrbniške predloge, omrežje in kliknite Nastavitve konfiguracije SSL.
Na desni strani dvokliknite na ukaz SSL Cipher Suite.
Privzeto je izbran gumb "Ni konfiguriran".Kliknite gumb »Omogočeno«, če želite urediti svoje strežnike Cipher Suites.
Polje SSL Cipher Suites bo zapolnilo z besedilom, ko kliknete gumb.Če želite videti, kaj ponuja Cipher Suites vaš strežnik, kopirajte besedilo iz polja SSL Cipher Suites in ga prilepite v Notepad. Besedilo bo v enem dolgem, neprekinjenem nizu. Vsaka od možnosti šifriranja je ločena z vejico. S postavitvijo vsake možnosti v svojo vrstico bo seznam lažje berljiv.
Prečkate lahko seznam in dodate ali odstranite v vsebino svojega srca z eno omejitvijo;seznam ne sme biti več kot 1.023 znakov. To je še posebej nadležno, ker imajo šifrirni paketi dolga imena, kot je "TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P384", zato izberite skrbno. Priporočam, da uporabite seznam, ki ga je pripravil Steve Gibson na GRC.com: https: //www.grc.com/miscfiles/ SChannel_Cipher_Suites.txt.
Ko ste seznanili s svojim seznamom, ga morate formatirati za uporabo. Tako kot prvotni seznam mora biti vaš novi en neprekinjen niz znakov z vsako šifro, ločeno z vejico. Kopirajte svoje oblikovano besedilo in ga prilepite v polje SSL Cipher Suites in kliknite V redu. Končno, če želite spremeniti palico, morate znova zagnati.
Z varnostnim kopiranjem vašega strežnika se obrnite na SSL Labs in jo preizkusite.Če je vse dobro, rezultati vam morajo dati oceno A.
Če želite nekaj malo bolj vizualnega, lahko IIS Crypto namestite z Nartac( https: //www.nartac.com/Products/IISCrypto/ Default.aspx).Ta aplikacija vam omogoča, da naredite enake spremembe kot zgornji koraki. Omogoča tudi, da omogočite ali onemogočite šifriranje na podlagi različnih meril, zato vam ni treba ročno prebrati.
Ni važno, kako to storite, posodabljanje Cipher Suites je enostaven način za izboljšanje varnosti za vas in vaše končne uporabnike.