Tienes un sitio web respetable que tus usuarios puedenconfiar. ¿Derecho? Es posible que desee verificar eso dos veces. Si su sitio se ejecuta en los Servicios de Internet Information Server (IIS) de Microsoft, es posible que se sorprenda. Cuando sus usuarios intentan conectarse a su servidor a través de una conexión segura (SSL / TLS), es posible que no les brinde una opción segura.
Proporcionar una mejor suite de cifrado es gratis yBastante fácil de configurar. Simplemente siga esta guía paso a paso para proteger a sus usuarios y su servidor. También aprenderá cómo probar los servicios que utiliza para ver qué tan seguros son realmente.
Por qué son importantes sus suites de cifrado
El IIS de Microsoft es bastante bueno. Es fácil de configurar y mantener. Tiene una interfaz gráfica fácil de usar que facilita la configuración. Se ejecuta en Windows. IIS realmente tiene mucho que ofrecer, pero realmente se queda plano cuando se trata de valores predeterminados de seguridad.
Así es como funciona una conexión segura. Su navegador inicia una conexión segura a un sitio. Esto se identifica más fácilmente mediante una URL que comienza con "HTTPS: //". Firefox ofrece un pequeño ícono de candado para ilustrar más el punto. Chrome, Internet Explorer y Safari tienen métodos similares para hacerle saber que su conexión está encriptada. El servidor al que se está conectando responde a su navegador con una lista de opciones de cifrado para elegir, en orden de preferencia a menor. Su navegador baja por la lista hasta que encuentra una opción de cifrado que le gusta y estamos fuera de servicio. El resto, como dicen, es matemática. (Nadie dice eso)
El defecto fatal en esto es que no todos losLas opciones de cifrado se crean por igual. Algunos usan algoritmos de cifrado realmente buenos (ECDH), otros son menos geniales (RSA), y algunos simplemente están mal aconsejados (DES). Un navegador puede conectarse a un servidor utilizando cualquiera de las opciones que proporciona el servidor. Si su sitio ofrece algunas opciones ECDH pero también algunas opciones DES, su servidor se conectará en cualquiera de ellas. El simple hecho de ofrecer estas malas opciones de cifrado hace que su sitio, su servidor y sus usuarios sean potencialmente vulnerables. Desafortunadamente, por defecto, IIS ofrece algunas opciones bastante pobres. No es catastrófico, pero definitivamente no es bueno.
Cómo ver dónde estás parado
Antes de comenzar, es posible que desee saber dóndesu sitio se destaca. Afortunadamente, la buena gente de Qualys nos proporciona SSL Labs a todos de forma gratuita. Si va a https://www.ssllabs.com/ssltest/, puede ver exactamente cómo responde su servidor a las solicitudes HTTPS. También puede ver cómo se acumulan los servicios que utiliza regularmente.
Una nota de precaución aquí. El hecho de que un sitio no reciba una calificación A no significa que las personas que lo ejecutan estén haciendo un mal trabajo. SSL Labs critica a RC4 como un algoritmo de cifrado débil a pesar de que no hay ataques conocidos contra él. Es cierto que es menos resistente a los intentos de fuerza bruta que algo como RSA o ECDH, pero no es necesariamente malo. Un sitio puede ofrecer una opción de conexión RC4 por necesidad para la compatibilidad con ciertos navegadores, por lo tanto, use las clasificaciones de los sitios como una guía, no una declaración de seguridad o falta de ella.
Actualización de su conjunto de cifrado
Hemos cubierto el fondo, ahora ensuciemos nuestras manos. Actualizar el conjunto de opciones que proporciona su servidor de Windows no es necesariamente sencillo, pero definitivamente tampoco es difícil.
Para comenzar, presione la tecla de Windows + R para abrir el cuadro de diálogo "Ejecutar". Escriba "gpedit.msc" y haga clic en "Aceptar" para iniciar el Editor de directivas de grupo. Aquí es donde haremos nuestros cambios.
En el lado izquierdo, expanda Configuración del equipo, Plantillas administrativas, Red y luego haga clic en Configuración de configuración SSL.
En el lado derecho, haga doble clic en SSL Cipher Suite Order.
Por defecto, se selecciona el botón "No configurado". Haga clic en el botón "Activado" para editar las suites de cifrado de su servidor.
El campo SSL Cipher Suites se llenará con textouna vez que hagas clic en el botón. Si desea ver qué Cipher Suites ofrece actualmente su servidor, copie el texto del campo SSL Cipher Suites y péguelo en el Bloc de notas. El texto estará en una cadena larga e ininterrumpida. Cada una de las opciones de cifrado está separada por una coma. Poner cada opción en su propia línea hará que la lista sea más fácil de leer.
Puede revisar la lista y agregar o quitar ael contenido de tu corazón con una restricción; la lista no puede tener más de 1.023 caracteres. Esto es especialmente molesto porque los conjuntos de cifrado tienen nombres largos como "TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P384", así que elija con cuidado. Recomiendo usar la lista elaborada por Steve Gibson en GRC.com: https://www.grc.com/miscfiles/SChannel_Cipher_Suites.txt.
Una vez que haya seleccionado su lista, debe formatearpara su uso Al igual que la lista original, la nueva debe ser una cadena ininterrumpida de caracteres con cada cifrado separado por una coma. Copie su texto formateado y péguelo en el campo SSL Cipher Suites y haga clic en Aceptar. Finalmente, para que el cambio se mantenga, debe reiniciar.
Con su servidor funcionando nuevamente, diríjase a SSL Labs y pruébelo. Si todo salió bien, los resultados deberían darle una calificación A.
Si desea algo un poco más visual,puede instalar IIS Crypto de Nartac (https://www.nartac.com/Products/IISCrypto/Default.aspx). Esta aplicación le permitirá realizar los mismos cambios que los pasos anteriores. También le permite habilitar o deshabilitar los cifrados en función de una variedad de criterios para que no tenga que revisarlos manualmente.
No importa cómo lo haga, actualizar sus Cipher Suites es una manera fácil de mejorar la seguridad para usted y sus usuarios finales.
