Imate respektabilnu web stranicu koju korisnici mogupovjerenje. Pravo? Možda biste htjeli to dvostruko provjeriti. Ako se vaša web-lokacija pokreće s Microsoftovim internetskim informacijskim uslugama (IIS), možda vas očekuje iznenađenje. Kada se vaši korisnici pokušaju povezati s vašim poslužiteljem putem sigurne veze (SSL / TLS), možda im nećete pružati sigurnu mogućnost.
Pružati bolji šifrantski paket je besplatan iprilično jednostavno za postavljanje. Samo slijedite ovaj korak po korak vodič kako biste zaštitili svoje korisnike i svoj poslužitelj. Također ćete naučiti kako testirati usluge koje koristite da biste vidjeli koliko su one uistinu sigurne.
Zašto su vaši Cipher Suites važni
Microsoftov IIS je prilično odličan. To je jednostavno postavljanje i održavanje. Ima korisničko grafičko sučelje koje konfiguraciju čini lakim. Radi na Windows-u. IIS doista puno radi na tome, ali stvarno pada ravnomjerno kada su u pitanju sigurnosni zadaci.
Evo kako funkcionira sigurna veza. Vaš preglednik pokreće sigurnu vezu s nekom web lokacijom. To se najlakše prepoznaje pomoću URL-a koji započinje s "HTTPS: //". Firefox nudi malu ikonu zaključavanja kako bi dodatno ilustrirao točku. Chrome, Internet Explorer i Safari imaju slične načine obavještavanja da je vaša veza šifrirana. Poslužitelj na koji se povezujete da odgovori na vaš preglednik s popisom opcija šifriranja koje možete odabrati prema najmanje preferiranom. Vaš preglednik ide prema popisu dok ne nađe opciju šifriranja koja mu se sviđa i ne pokrenemo i pokrećemo. Ostalo je, kako kažu, matematika. (Nitko to ne kaže.)
Fatalni nedostatak u tome je što nisu svimogućnosti šifriranja stvaraju se jednako. Neki koriste zaista sjajne algoritme šifriranja (ECDH), drugi su manje veliki (RSA), a neki su samo loše savjetovani (DES). Preglednik se može povezati s poslužiteljem koristeći bilo koju opciju koju poslužitelj pruža. Ako vaša web lokacija nudi neke ECDH opcije, ali i neke DES opcije, vaš poslužitelj će se povezati na bilo kojoj. Jednostavan čin pružanja ovih loših opcija šifriranja čini vaše web mjesto, vaš poslužitelj i vaše korisnike potencijalno ranjivim. Nažalost, IIS prema zadanim postavkama pruža neke prilično loše mogućnosti. Nije katastrofalno, ali definitivno nije dobro.
Kako vidjeti gdje stojite
Prije nego što započnemo, možda želite znati gdjevaša web lokacija stoji. Srećom, dobri ljudi u Qualysu pružaju SSL laboratorije svima nama besplatno. Ako odete na https://www.ssllabs.com/ssltest/, možete vidjeti točno kako vaš poslužitelj odgovara na HTTPS zahtjeve. Također možete vidjeti kako se redovno skupljaju usluge koje koristite.
Jedna napomena opreza ovdje. To što web lokacija ne dobije ocjenu ne znači da ljudi koji ih vode rade loše. SSL Labs ruši RC4 kao slab algoritam šifriranja iako nema poznatih napada protiv njega. Istina, manje je otporan na brutalne pokušaje sile nego na primjer RSA ili ECDH, ali nije nužno i loše. Web mjesto može ponuditi mogućnost RC4 povezivanja iz potrebe za kompatibilnošću s određenim preglednicima, stoga rangiranje web lokacija koristite kao smjernicu, a ne željeznu izjavu o sigurnosti ili nedostatku.
Ažuriranje Cipher Suite-a
Pokrili smo pozadinu, sada neka budu prljave ruke. Ažuriranje paketa opcija koje pruža Windows poslužitelj nije nužno jednostavno, ali definitivno nije ni teško.
Za početak pritisnite tipku Windows + R da biste otvorili dijaloški okvir "Pokreni". Unesite "gpedit.msc" i kliknite "U redu" za pokretanje Uređivača pravila grupe. Ovdje ćemo izvršiti naše promjene.
Na lijevoj strani proširite Konfiguracija računala, Administrativni predlošci, Mreža, a zatim kliknite Postavke konfiguracije SSL-a.
S desne strane dvokliknite SSL Cipher Suite Order.
Prema zadanim postavkama odabran je gumb "Nije konfigurirano". Kliknite gumb "Omogućeno" da biste uredili Cipher Suites na vašem poslužitelju.
Polje SSL Cipher Suites ispunit će se tekstomnakon što kliknete gumb. Ako želite vidjeti što Cipher Suites trenutno nudi vaš poslužitelj, kopirajte tekst iz polja SSL Cipher Suites i zalijepite ga u Notepad. Tekst će biti u jednom dugom, neprekinutom nizu. Svaka od opcija šifriranja odvojena je zarezom. Ako svaku opciju postavite u vlastiti redak, popis će biti lakši za čitanje.
Možete proći kroz popis i dodati ili ukloniti usadržaj vašeg srca s jednim ograničenjem; popis ne može biti veći od 1.023 znaka. Ovo je posebno neugodno jer šifrirani parovi imaju dugačka imena poput "TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P384", stoga pažljivo odaberite. Preporučujem uporabu popisa koji je sastavio Steve Gibson na GRC.com: https://www.grc.com/miscfiles/SChannel_Cipher_Suites.txt.
Nakon što ste uredili svoj popis, morate formatiratito za upotrebu. Kao i na izvornom popisu, i vaš novi treba biti jedan neprekinuti niz znakova sa svakom šifrom odvojen zarezom. Kopirajte oblikovani tekst i zalijepite ga u polje SSL Cipher Suites i kliknite OK. Na kraju, kako biste promijenili stavku, morate se ponovno pokrenuti.
Sa sigurnosnim kopijama i pokretanjem vašeg poslužitelja, prijeđite na SSL Labs i testirajte ga. Ako je sve prošlo dobro, rezultati bi trebali dati A ocjenu.
Ako želite nešto malo više vizualno,možete instalirati IIS Crypto by Nartac (https://www.nartac.com/Products/IISCrypto/Default.aspx). Ova će vam aplikacija omogućiti da izvršite iste promjene kao i gore navedeni koraci. Također vam omogućuje da omogućite ili onemogućite šifre na temelju različitih kriterija tako da ne morate ručno prolaziti kroz njih.
Bez obzira na to kako ste to učinili, ažuriranje Cipher Suites-a jednostavan je način poboljšanja sigurnosti za vas i vaše krajnje korisnike.
