Sinulla on kunnioitettava verkkosivusto, jonka käyttäjät voivat käyttääluottamus. Oikea? Haluat ehkä tarkistaa sen. Jos sivustosi toimii Microsoftin Internet Information Services -palvelussa (IIS), saatat joutua yllätykseksi. Kun käyttäjät yrittävät muodostaa yhteyden palvelimeesi suojatun yhteyden (SSL / TLS) kautta, et ehkä tarjoa heille turvallista vaihtoehtoa.
Parempi salausohjelma on ilmainen jamelko helppo asentaa. Seuraa vain tätä askel askeleelta opasta suojataksesi käyttäjiäsi ja palvelintasi. Opit myös testaamaan käyttämiäsi palveluita nähdäksesi kuinka turvallisia ne ovat.
Miksi Cipher-sviitisi ovat tärkeitä
Microsoftin IIS on aika hieno. Se on helppo asentaa ja ylläpitää. Siinä on käyttäjäystävällinen graafinen käyttöliittymä, joka tekee kokoonpanosta helppoa. Se toimii Windowsissa. IIS: llä on todella paljon tekemistä sen saavuttamiseksi, mutta se epäonnistuu tietoturva-oletuksissa.
Näin suojattu yhteys toimii. Selaimesi muodostaa suojatun yhteyden sivustoon. Tämä on helpointa tunnistaa URL-osoitteella, joka alkaa ”HTTPS: //”. Firefox tarjoaa pienen lukkokuvaketta kuvaamaan pistettä tarkemmin. Chromella, Internet Explorerilla ja Safarilla on kaikki samanlaiset menetelmät, joiden avulla ilmoitetaan yhteytesi salatusta. Palvelin, johon yhdistät, vastaa selaimeesi luettelolla valituista salausvaihtoehdoista suosituimmasta vähiten. Selaimesi menee luettelosta alaspäin, kunnes se löytää haluamansa salausvaihtoehdon ja olemme käynnissä. Loppuosa, kuten he sanovat, on matematiikkaa. (Kukaan ei sano sitä.)
Kohtalokas virhe tässä on se, että kaikki eivätsalausasetukset luodaan tasavertaisesti. Jotkut käyttävät todella hienoja salausalgoritmeja (ECDH), toiset ovat vähemmän hyviä (RSA), ja toiset ovat vain huonosti neuvottuja (DES). Selain voi muodostaa yhteyden palvelimeen millä tahansa palvelimen tarjoamista vaihtoehdoista. Jos sivustosi tarjoaa joitain ECDH-vaihtoehtoja, mutta myös joitain DES-asetuksia, palvelimesi muodostaa yhteyden kumpaankin. Näiden huonojen salausvaihtoehtojen tarjoaminen yksinkertaisesti tekee sivustostasi, palvelimestasi ja käyttäjistäsi mahdollisen haavoittuvuuden. Valitettavasti IIS tarjoaa oletuksena joitain melko huonoja vaihtoehtoja. Ei katastrofaalinen, mutta ehdottomasti ei hyvä.
Kuinka nähdä missä seisot
Ennen kuin aloitamme, haluat ehkä tietää mistäsivustosi seisoo. Onneksi Qualysin hyvät ihmiset tarjoavat SSL Labs -palvelun meille kaikille ilmaiseksi. Jos siirryt osoitteeseen https://www.ssllabs.com/ssltest/, näet tarkalleen, kuinka palvelimesi vastaa HTTPS-pyyntöihin. Voit myös nähdä, kuinka säännöllisesti käyttämäsi palvelut pinottuvat.
Yksi varovaisuuden huomautus täällä. Se, että sivusto ei saa A-luokitusta, ei tarkoita sitä, että sitä käyttävät ihmiset tekevät huonoa työtä. SSL Labs surmaa RC4: n heikkona salausalgoritmina, vaikka sitä vastaan ei ole tunnettuja hyökkäyksiä. Totta, se on vähemmän kestävä raa'an voiman yrityksille kuin jotain RSA: ta tai ECDH: ta, mutta se ei ole välttämättä huono. Sivusto voi tarjota RC4-yhteysvaihtoehdon välttämättä yhteensopivuuden kanssa tiettyjen selainten kanssa, joten käytä sivustojen sijoitusta ohjeena, ei raudasta verhottua tietoturvaa tai sen puuttumista.
Cipher Suite -päivitys päivitetään
Olemme peittäneet taustan, nyt kädet likaantuvat. Windows-palvelimen tarjoaman vaihtoehtosarjan päivittäminen ei ole välttämättä yksinkertaista, mutta se ei myöskään ole vaikeaa.
Aloita painamalla Windows Key + R avataksesi “Suorita” -valintaikkunan. Kirjoita ”gpedit.msc” ja napsauta “OK” käynnistääksesi ryhmäkäytäntöeditorin. Tässä teemme muutokset.
Laajenna vasemmalla puolella Tietokoneen kokoonpano, Hallintamallit, Verkko ja napsauta sitten SSL-kokoonpanoasetukset.
Kaksoisnapsauta oikealla puolella SSL Cipher Suite Order -sivua.
Oletuksena on “Ei konfiguroitu” -painike. Napsauta ”Enabled” -painiketta muokataksesi palvelimesi Cipher Suites -sovellusta.
SSL Cipher Suites -kenttä täytetään tekstilläkun napsautat painiketta. Jos haluat nähdä, mitä Cipher Suites palvelimesi tarjoaa, kopioi teksti SSL Cipher Suites -kentästä ja liitä se Muistioon. Teksti on yhdessä pitkässä, katkaisemattomassa merkkijonossa. Jokainen salausvaihtoehto erotetaan pilkulla. Kunkin vaihtoehdon asettaminen omalle rivilleen tekee luettelosta helpompaa lukea.
Voit käydä läpi luettelon ja lisätä tai poistaa siihensydämesi tyytyväisyys yhdellä rajoituksella; luettelo saa olla enintään 1 023 merkkiä. Tämä on erityisen ärsyttävää, koska salaussarjoilla on pitkät nimet, kuten ”TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P384”, joten valitse huolellisesti. Suosittelen Steve Gibsonin GRC.com-sivustossa kokoaman luettelon käyttöä: https://www.grc.com/miscfiles/SChannel_Cipher_Suites.txt.
Kun olet kuratoinut luettelosi, sinun on alustettavase käytettäväksi. Kuten alkuperäisessä luettelossa, uudenkin täytyy olla yksi katkaisematon merkkijono, jonka jokainen salaus erotetaan pilkulla. Kopioi muotoiltu teksti ja liitä se SSL Cipher Suites -kenttään ja napsauta OK. Lopuksi, jotta muutos pysyisi, sinun on käynnistettävä uudelleen.
Kun palvelin on varmuuskopioitu ja käynnissä, siirry SSL Labs: iin ja testaa se. Jos kaikki meni hyvin, tulosten pitäisi antaa sinulle A-luokka.
Jos haluat jotain hieman visuaalista,Voit asentaa Nartacin IIS Crypto (https://www.nartac.com/Products/IISCrypto/Default.aspx). Tämän sovelluksen avulla voit tehdä samat muutokset kuin yllä olevat vaiheet. Sen avulla voit myös ottaa salaukset käyttöön tai poistaa käytöstä useiden ehtojen perusteella, joten sinun ei tarvitse käydä niitä käsin.
Cipher Suites -päivityspäivitys on helppo tapa parantaa turvallisuutta sinulle ja loppukäyttäjillesi riippumatta siitä, miten teet sen.
