Du driver et respektabelt websted, som dine brugere kan stole på. Ret? Det kan være en god idé at dobbelttjekke det. Hvis dit websted kører på Microsoft Internet Information Services (IIS), er du muligvis i en overraskelse. Når dine brugere forsøger at oprette forbindelse til din server via en sikker forbindelse (SSL / TLS), giver du muligvis ikke en sikker mulighed.
At tilbyde en bedre chifferpakke er gratis og ret let at opsætte. Følg bare denne trinvise vejledning for at beskytte dine brugere og din server. Du lærer også, hvordan du tester tjenester, du bruger, for at se, hvor sikre de virkelig er.
Hvorfor dine cipher-suiter er vigtige
Microsofts IIS er ret fantastisk. Det er både let at opsætte og vedligeholde. Det har en brugervenlig grafisk grænseflade, der gør konfigurationen til en leg. Det kører på Windows. IIS har virkelig meget at gøre, men falder virkelig fladt, når det kommer til sikkerhedsstandarder.
Sådan fungerer en sikker forbindelse. Din browser opretter en sikker forbindelse til et websted. Dette identificeres nemmest ved en URL, der starter med “HTTPS: //”. Firefox tilbyder et lille låsikon for at illustrere pointen yderligere. Chrome, Internet Explorer og Safari har alle lignende metoder til at fortælle dig, at din forbindelse er krypteret. Den server, du opretter forbindelse til, svarer til din browser med en liste over krypteringsmuligheder, du kan vælge imellem efter den mest foretrukne frem for mindst. Din browser går ned på listen, indtil den finder en krypteringsmulighed, som den kan lide, og vi kører. Resten, som de siger, er matematik. (Ingen siger det.)
Den fatale fejl i dette er, at ikke alle krypteringsindstillingerne oprettes ens. Nogle bruger rigtig gode krypteringsalgoritmer (ECDH), andre er mindre gode (RSA), og nogle er bare dårligt anbefalet (DES). En browser kan oprette forbindelse til en server ved hjælp af en af de muligheder, serveren giver. Hvis dit websted tilbyder nogle ECDH-muligheder, men også nogle DES-muligheder, opretter din server forbindelse på begge sider. Den enkle handling at tilbyde disse dårlige krypteringsindstillinger gør dit websted, din server og dine brugere potentielt sårbare. Desværre giver IIS som standard nogle ret dårlige muligheder. Ikke katastrofalt, men bestemt ikke godt.
Sådan ser du, hvor du står
Før vi starter, vil du måske vide, hvor dit websted ligger. Heldigvis leverer de gode folk hos Qualys SSL Labs til os alle gratis. Hvis du går til https://www.ssllabs.com/ssltest/ , kan du se nøjagtigt, hvordan din server reagerer på HTTPS-anmodninger. Du kan også se, hvordan tjenester, du bruger regelmæssigt, samles op.
En advarsel her. Bare fordi et websted ikke modtager en A-vurdering, betyder det ikke, at de mennesker, der kører dem, gør et dårligt job. SSL Labs smækker RC4 som en svag krypteringsalgoritme, selvom der ikke er nogen kendte angreb mod den. Det er sandt, at det er mindre modstandsdygtigt over for brutale kraftforsøg end noget som RSA eller ECDH, men det er ikke nødvendigvis dårligt. Et websted kan tilbyde en RC4-forbindelsesmulighed af nødvendighed for kompatibilitet med visse browsere, så brug sideplaceringerne som en retningslinje, ikke en jernklædt erklæring om sikkerhed eller mangel på dem.
Opdatering af din Cipher Suite
Vi har dækket baggrunden, lad os nu få vores hænder beskidte. Opdatering af den række af muligheder, din Windows-server giver, er ikke nødvendigvis ligetil, men det er bestemt heller ikke svært.
For at starte skal du trykke på Windows-tast + R for at åbne dialogboksen "Kør". Skriv "gpedit.msc" og klik på "OK" for at starte Group Policy Editor. Det er her, vi foretager vores ændringer.
På venstre side skal du udvide Computer Configuration, Administrative Templates, Network og derefter klikke på SSL Configuration Settings.
Dobbeltklik på SSL Cipher Suite Order på højre side.
Som standard er knappen "Ikke konfigureret" valgt. Klik på knappen "Aktiveret" for at redigere din servers Cipher Suites.
SSL-krypteringssuitefeltet udfyldes med tekst, når du klikker på knappen. Hvis du vil se, hvilke Cipher Suites din server i øjeblikket tilbyder, skal du kopiere teksten fra feltet SSL Cipher Suites og indsætte den i Notesblok. Teksten vil være i en lang, ubrudt streng. Hver af krypteringsindstillingerne er adskilt med et komma. At sætte hver indstilling på sin egen linje vil gøre listen lettere at læse.
Du kan gå gennem listen og tilføje eller fjerne til dit hjertes indhold med en begrænsning; listen må ikke være mere end 1.023 tegn. Dette er især irriterende, fordi krypteringssuiterne har lange navne som “TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P384”, så vælg omhyggeligt. Jeg anbefaler at bruge listen sammensat af Steve Gibson på GRC.com: https://www.grc.com/miscfiles/SChannel_Cipher_Suites.txt .
Når du har kurateret din liste, skal du formatere den til brug. Ligesom den oprindelige liste skal din nye være en ubrudt række tegn med hver kryptering adskilt med et komma. Kopier din formaterede tekst, og indsæt den i feltet SSL Cipher Suites, og klik på OK. Endelig skal du genstarte for at få ændringen til at holde fast.
Når din server er i gang igen, skal du gå over til SSL Labs og teste den. Hvis alt gik godt, skulle resultaterne give dig en A-vurdering.
Hvis du vil have noget lidt mere visuelt, kan du installere IIS Crypto af Nartac ( https://www.nartac.com/Products/IISCrypto/Default.aspx ). Denne applikation giver dig mulighed for at foretage de samme ændringer som ovenstående trin. Det giver dig også mulighed for at aktivere eller deaktivere chiffer baseret på en række kriterier, så du ikke behøver at gå igennem dem manuelt.
Uanset hvordan du gør det, er opdatering af dine Cipher Suites en nem måde at forbedre sikkerheden for dig og dine slutbrugere.
