Provozujete slušný web, kterému mohou vaši uživatelé důvěřovat. Že jo? Možná to budete chtít znovu zkontrolovat. Pokud váš web běží na Internetové informační službě (IIS), možná vás čeká překvapení. Když se uživatelé pokusí připojit k vašemu serveru prostřednictvím zabezpečeného připojení (SSL / TLS), možná jim neposkytujete bezpečnou možnost.
Poskytnutí lepší šifrovací sady je zdarma a velmi snadno se nastavuje. Postupujte podle tohoto průvodce krok za krokem, abyste chránili své uživatele a svůj server. Dozvíte se také, jak testovat služby, které používáte, abyste zjistili, jak bezpečné jsou ve skutečnosti.
Proč jsou vaše šifrovací sady důležité
Microsoft IIS je docela skvělý. Je to jak snadné nastavení, tak údržba. Má uživatelsky přívětivé grafické rozhraní, díky němuž je konfigurace hračkou. Funguje na Windows. IIS má toho opravdu hodně, ale pokud jde o výchozí nastavení zabezpečení, skutečně klesá.
Takto funguje zabezpečené připojení. Váš prohlížeč zahájí zabezpečené připojení k webu. To lze nejsnadněji identifikovat podle adresy URL začínající „HTTPS: //“. Firefox nabízí malou ikonu zámku pro další ilustraci. Chrome, Internet Explorer a Safari mají podobné metody, jak vás informovat o šifrovaném připojení. Server, ke kterému se připojujete, odpovídá na váš prohlížeč se seznamem možností šifrování, z nichž si můžete vybrat v pořadí od nejpreferovanějšího po nejméně. Váš prohlížeč jde dolů v seznamu, dokud nenajde možnost šifrování, která se mu líbí, a my jsme vypnuti. Zbytek, jak se říká, je matematika. (Nikdo to neříká.)
Fatální chybou je, že ne všechny možnosti šifrování jsou vytvářeny stejně. Některé používají opravdu skvělé šifrovací algoritmy (ECDH), jiné jsou méně skvělé (RSA) a některé se nedoporučují (DES). Prohlížeč se může připojit k serveru pomocí kterékoli z možností, které server poskytuje. Pokud váš web nabízí některé možnosti ECDH, ale také některé možnosti DES, váš server se připojí buď. Díky pouhé nabídce těchto špatných možností šifrování je váš web, váš server a uživatelé potenciálně zranitelní. Ve výchozím nastavení bohužel IIS poskytuje některé velmi špatné možnosti. Není to katastrofické, ale rozhodně ne dobré.
Jak vidět, kde stojíte
Než začneme, možná budete chtít vědět, kde váš web stojí. Naštěstí dobří lidé v Qualysu poskytují SSL laboratoře nám všem zdarma. Pokud půjdete na https://www.ssllabs.com/ssltest/ , můžete přesně vidět, jak váš server reaguje na požadavky HTTPS. Můžete také vidět, jak se služby, které používáte, pravidelně hromadí.
Jedna poznámka opatrnosti zde. To, že web neobdrží hodnocení A, ještě neznamená, že lidé, kteří jej provozují, dělají špatnou práci. SSL Labs kritizuje RC4 jako slabý šifrovací algoritmus, i když proti němu nejsou známy žádné útoky. Je pravda, že je méně odolný proti pokusům o hrubou sílu než něco jako RSA nebo ECDH, ale nemusí to být nutně špatné. Web může nabídnout možnost připojení RC4 z důvodu kompatibility s určitými prohlížeči, proto používejte hodnocení stránek jako vodítko, nikoli jako ironické prohlášení o bezpečnosti nebo jeho nedostatku.
Aktualizace vaší šifrovací sady
Pokryli jsme pozadí, teď si zašpiníme ruce. Aktualizace sady možností, které váš server Windows poskytuje, nemusí být nutně přímočará, ale rozhodně není ani těžká.
Chcete-li začít, stisknutím klávesy Windows + R vyvolejte dialogové okno „Spustit“. Zadejte „gpedit.msc“ a kliknutím na „OK“ spusťte Editor zásad skupiny. To je místo, kde provedeme změny.
Na levé straně rozbalte položku Konfigurace počítače, Šablony pro správu, Síť a poté klikněte na Nastavení konfigurace SSL.
Na pravé straně poklepejte na Objednávku SSL Cipher Suite.
Ve výchozím nastavení je vybráno tlačítko „Nekonfigurováno“. Kliknutím na tlačítko „Povoleno“ upravíte Cipher Suites vašeho serveru.
Pole SSL Cipher Suites se vyplní textem, jakmile kliknete na tlačítko. Pokud chcete zjistit, co Cipher Suites váš server aktuálně nabízí, zkopírujte text z pole SSL Cipher Suites a vložte jej do Poznámkového bloku. Text bude v jednom dlouhém nepřerušeném řetězci. Každá z možností šifrování je oddělena čárkou. Umístěním každé možnosti na vlastní řádek bude seznam snazší číst.
Seznam můžete projít a přidat nebo odebrat obsah svého srdce s jediným omezením; seznam nesmí mít více než 1023 znaků. To je obzvláště nepříjemné, protože šifrovací sady mají dlouhé názvy jako „TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P384“, proto je vybírejte pečlivě. Doporučuji použít seznam sestavený Stevem Gibsonem na GRC.com: https://www.grc.com/miscfiles/SChannel_Cipher_Suites.txt .
Jakmile svůj seznam upravíte, musíte jej naformátovat. Stejně jako v původním seznamu musí být váš nový jeden nepřerušený řetězec znaků, přičemž každá šifra je oddělena čárkou. Zkopírujte formátovaný text a vložte jej do pole SSL Cipher Suites a klikněte na OK. Nakonec, abyste provedli změnu, musíte restartovat.
Když je váš server zálohovaný a běží, přejděte do SSL Labs a vyzkoušejte to. Pokud vše proběhlo dobře, výsledky by vám měly dát hodnocení A.
Pokud byste chtěli něco trochu vizuálnějšího, můžete si nainstalovat IIS Crypto od Nartaca ( https://www.nartac.com/Products/IISCrypto/Default.aspx ). Tato aplikace vám umožní provést stejné změny jako výše uvedené kroky. Umožňuje také povolit nebo zakázat šifry na základě různých kritérií, takže je nemusíte procházet ručně.
Nezáleží na tom, jak to uděláte, aktualizace sady Cipher Suite je snadný způsob, jak zlepšit zabezpečení pro vás a vaše koncové uživatele.
