12Sep

Så här uppdaterar du Windows Server Cipher Suite för bättre säkerhet

Du driver en respektabel webbplats som dina användare kan lita på.Höger? Du kanske vill dubbelkontrollera det. Om din webbplats körs på Microsoft Internet Information Services( IIS) kan du vara överraskad. När dina användare försöker ansluta till din server via en säker anslutning( SSL / TLS) kan du inte ge dem ett säkert alternativ.

Att tillhandahålla en bättre chiffer-svit är gratis och ganska lätt att installera. Följ bara denna stegvisa guide för att skydda dina användare och din server. Du lär dig också att testa tjänster du använder för att se hur säker de verkligen är.

Varför dina Cipher Suites är viktiga

Microsofts IIS är ganska bra. Det är både enkelt att installera och underhålla. Den har ett användarvänligt grafiskt gränssnitt som gör konfigurationen en vind. Den körs på Windows. IIS har verkligen mycket för det, men faller verkligen platt när det gäller säkerhetsinställningar.

Så här fungerar en säker anslutning. Din webbläsare initierar en säker anslutning till en webbplats. Detta är lättast identifierat av en URL som börjar med "HTTPS: //".Firefox erbjuder en liten låsikon för att illustrera punkten ytterligare. Chrome, Internet Explorer och Safari har alla liknande metoder för att låta dig veta att din anslutning är krypterad. Servern som du ansluter till svar på din webbläsare med en lista över krypteringsalternativ att välja mellan i önskad ordning med minst minst. Din webbläsare går ner i listan tills den hittar ett krypteringsalternativ som den tycker om och vi är igång. Resten, som de säger är matte.(Ingen säger det.)

Den dödliga felet i detta är att inte alla krypteringsalternativ skapas lika. Vissa använder riktigt bra krypteringsalgoritmer( ECDH), andra är mindre stora( RSA), och vissa är bara dåligt rekommenderade( DES).En webbläsare kan ansluta till en server med något av de alternativ som servern tillhandahåller. Om din webbplats erbjuder några ECDH-alternativ men även några DES-alternativ, kommer din server att ansluta till antingen. Den enkla handlingen att erbjuda dessa dåliga krypteringsalternativ gör att din webbplats, din server och dina användare potentiellt utsatta. Tyvärr har IIS som standard vissa ganska dåliga alternativ. Inte katastrofal, men definitivt inte bra.

Så här ser du var du står

Innan vi börjar kanske du vill veta var din webbplats står. Tack och lov, de goda på Qualys tillhandahåller SSL Labs till oss alla utan kostnad. Om du går till https: //www.ssllabs.com/ssltest/ kan du se exakt hur din server svarar på HTTPS-förfrågningar. Du kan också se hur tjänster du använder regelbundet staplar upp.

En försiktighetsåtgärd här. Bara för att en webbplats inte får en A-rating betyder inte att de som kör dem gör ett dåligt jobb. SSL Labs slår RC4 som en svag krypteringsalgoritm trots att det inte finns några kända attacker mot det. Det är sant att det är mindre motståndskraftigt mot brutala kraftförsök än något som RSA eller ECDH, men det är inte nödvändigtvis dåligt. En webbplats kan erbjuda ett RC4-anslutningsalternativ utan nödvändighet för kompatibilitet med vissa webbläsare, så använd webbplatsens rankningar som en riktlinje, inte en järnklädd säkerhetsdeklaration eller brist på det.

Uppdaterar din Cipher Suite

Vi har täckt bakgrunden, nu får vi händerna smutsiga. Uppdatering av paketalternativ som din Windows-server tillhandahåller är inte nödvändigtvis enkel, men det är definitivt inte svårt heller.

För att starta, tryck på Windows Key + R för att hämta dialogrutan "Kör".Skriv "gpedit.msc" och klicka "OK" för att starta Group Policy Editor. Det är här vi gör våra ändringar.

På vänster sida, expandera Datorkonfiguration, Administrativa mallar, Nätverk och klicka sedan på SSL-konfigurationsinställningar.

Dubbelklicka på SSL Cipher Suite Order på högra sidan.

Som standard är knappen "Ej konfigurerad" vald. Klicka på "Enabled" knappen för att redigera din server Cipher Suites.

Fältet SSL Cipher Suites fyller med text när du klickar på knappen. Om du vill se vad Cipher Suites din server för närvarande erbjuder, kopiera texten från fältet SSL Cipher Suites och klistra in den i Anteckningsblock. Texten kommer att vara i en lång, obruten sträng. Vart och ett av krypteringsalternativen är åtskilda av ett kommatecken. Genom att placera varje alternativ på egen rad kommer listan lättare att läsa.

Du kan gå igenom listan och lägga till eller ta bort ditt hjärtans innehåll med en begränsning.listan kan inte vara mer än 1 023 tecken. Detta är speciellt irriterande eftersom chiffer-sviterna har långa namn som "TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P384", så välj noggrant. Jag rekommenderar att du använder listan över Steve Gibson över på GRC.com: https: //www.grc.com/miscfiles/ SChannel_Cipher_Suites.txt.

När du har curated din lista måste du formatera den för användning. Som den ursprungliga listan måste din nya vara en obruten sträng av tecken med varje ciffer separerad av ett kommatecken. Kopiera din formaterade text och klistra in den i fältet SSL Cipher Suites och klicka på OK.Slutligen måste du starta om om du vill göra ändringen.

När din server är igång, gå över till SSL Labs och testa den. Om allt gick bra borde resultaten ge dig en A-betyg.

Om du vill ha något lite mer visuellt kan du installera IIS Crypto av Nartac( https: //www.nartac.com/Products/IISCrypto/ Default.aspx).Med den här applikationen kan du göra samma ändringar som ovanstående steg. Det låter dig också aktivera eller inaktivera cifrar baserat på en mängd olika kriterier så att du inte behöver gå igenom dem manuellt.

Oavsett hur du gör det, uppdaterar du Cipher Suites är ett enkelt sätt att förbättra säkerheten för dig och dina slutanvändare.