Gestisci un sito Web rispettabile che i tuoi utenti possono farefiducia. Giusto? Potresti voler ricontrollarlo. Se il tuo sito è in esecuzione su Microsoft Internet Information Services (IIS), potresti essere sorpreso. Quando i tuoi utenti provano a connettersi al tuo server tramite una connessione protetta (SSL / TLS), potresti non fornire loro un'opzione sicura.
Fornire una migliore suite di cifratura è gratuito eabbastanza facile da configurare. Segui questa guida passo passo per proteggere i tuoi utenti e il tuo server. Imparerai anche come testare i servizi che usi per vedere quanto sono veramente sicuri.
Perché le suite di crittografia sono importanti
L'IIS di Microsoft è piuttosto eccezionale. È sia facile da configurare che da gestire. Ha un'interfaccia grafica intuitiva che rende la configurazione un gioco da ragazzi. Funziona su Windows. IIS ha davvero molto da fare, ma crolla davvero quando si tratta di impostazioni predefinite di sicurezza.
Ecco come funziona una connessione sicura. Il tuo browser avvia una connessione sicura a un sito. Questo è più facilmente identificato da un URL che inizia con "HTTPS: //". Firefox offre una piccola icona di blocco per illustrare ulteriormente il punto. Chrome, Internet Explorer e Safari hanno tutti metodi simili per farti sapere che la tua connessione è crittografata. Il server a cui ti stai connettendo alle risposte al tuo browser con un elenco di opzioni di crittografia tra cui scegliere, dall'ordine più preferito a meno. Il tuo browser scende nell'elenco fino a quando non trova un'opzione di crittografia che gli piace e non siamo in esecuzione. Il resto, come si suol dire, è matematica. (Nessuno lo dice.)
Il difetto fatale in questo è che non tuttile opzioni di crittografia vengono create allo stesso modo. Alcuni usano algoritmi di crittografia davvero eccellenti (ECDH), altri sono meno grandi (RSA) e alcuni sono semplicemente sconsigliati (DES). Un browser può connettersi a un server utilizzando una delle opzioni fornite dal server. Se il tuo sito offre alcune opzioni ECDH ma anche alcune opzioni DES, il tuo server si connetterà su entrambi. Il semplice atto di offrire queste cattive opzioni di crittografia rende potenzialmente vulnerabili il tuo sito, il tuo server e i tuoi utenti. Sfortunatamente, per impostazione predefinita, IIS offre alcune opzioni piuttosto scadenti. Non catastrofico, ma sicuramente non buono.
Come vedere dove ti trovi
Prima di iniziare, potresti voler sapere doveil tuo sito si trova. Per fortuna le brave persone di Qualys forniscono gratuitamente SSL Labs a tutti noi. Se vai su https://www.ssllabs.com/ssltest/, puoi vedere esattamente come il tuo server risponde alle richieste HTTPS. Puoi anche vedere come i servizi che usi regolarmente si accumulano.
Una nota di cautela qui. Solo perché un sito non riceve un voto A non significa che le persone che lo gestiscono stiano facendo un brutto lavoro. SSL Labs considera RC4 un algoritmo di crittografia debole, anche se non ci sono attacchi noti contro di esso. È vero, è meno resistente ai tentativi di forza bruta di qualcosa come RSA o ECDH, ma non è necessariamente male. Un sito può offrire un'opzione di connessione RC4 per necessità per la compatibilità con alcuni browser, quindi utilizzare le classifiche dei siti come linea guida, non una dichiarazione di sicurezza o mancanza di sicurezza.
Aggiornamento di Cipher Suite
Abbiamo coperto lo sfondo, ora sporchiamoci le mani. L'aggiornamento della suite di opzioni fornite dal tuo server Windows non è necessariamente semplice, ma sicuramente non è nemmeno difficile.
Per iniziare, premi il tasto Windows + R per visualizzare la finestra di dialogo "Esegui". Digitare "gpedit.msc" e fare clic su "OK" per avviare l'Editor criteri di gruppo. Qui è dove apporteremo le nostre modifiche.
Sul lato sinistro, espandere Configurazione computer, Modelli amministrativi, Rete, quindi fare clic su Impostazioni di configurazione SSL.
Sul lato destro, fai doppio clic su Ordine SSL Cipher Suite.
Per impostazione predefinita, è selezionato il pulsante "Non configurato". Fai clic sul pulsante "Abilitato" per modificare le suite di crittografia del tuo server.
Il campo Suite di crittografia SSL verrà riempito con testouna volta che fai clic sul pulsante. Se vuoi vedere che Cipher Suites offre attualmente il tuo server, copia il testo dal campo SSL Cipher Suites e incollalo nel Blocco note. Il testo sarà in una stringa lunga e ininterrotta. Ciascuna delle opzioni di crittografia è separata da una virgola. Mettere ciascuna opzione sulla propria riga renderà l'elenco più facile da leggere.
È possibile scorrere l'elenco e aggiungere o rimuovere ail contenuto del tuo cuore con una limitazione; l'elenco non può contenere più di 1.023 caratteri. Ciò è particolarmente fastidioso perché le suite di crittografia hanno nomi lunghi come "TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P384", quindi scegli con attenzione. Consiglio di utilizzare l'elenco creato da Steve Gibson su GRC.com: https://www.grc.com/miscfiles/SChannel_Cipher_Suites.txt.
Dopo aver curato l'elenco, devi formattareper l'uso. Come l'elenco originale, quello nuovo deve essere una stringa ininterrotta di caratteri con ogni cifra separata da una virgola. Copia il testo formattato e incollalo nel campo Suite di cifratura SSL e fai clic su OK. Infine, per apportare la modifica, è necessario riavviare.
Con il tuo server di backup e in esecuzione, vai su SSL Labs e provalo. Se tutto è andato bene, i risultati dovrebbero darti una valutazione A.
Se desideri qualcosa di un po 'più visivo,puoi installare IIS Crypto di Nartac (https://www.nartac.com/Products/IISCrypto/Default.aspx). Questa applicazione ti consentirà di apportare le stesse modifiche dei passaggi precedenti. Ti consente inoltre di abilitare o disabilitare le cifre in base a una varietà di criteri in modo da non doverle esaminare manualmente.
Indipendentemente da come lo fai, aggiornare Cipher Suites è un modo semplice per migliorare la sicurezza per te e i tuoi utenti finali.
