Διαχειρίζεστε έναν αξιοσέβαστο ιστότοπο στον οποίο μπορούν να εμπιστεύονται οι χρήστες σας. Σωστά? Ίσως θέλετε να το ελέγξετε ξανά. Εάν ο ιστότοπός σας εκτελείται σε Microsoft Internet Information Services (IIS), ενδέχεται να είστε έκπληκτοι. Όταν οι χρήστες σας προσπαθούν να συνδεθούν στον διακομιστή σας μέσω ασφαλούς σύνδεσης (SSL / TLS), ενδέχεται να μην τους παρέχετε μια ασφαλή επιλογή.
Η παροχή μιας καλύτερης σουίτας κρυπτογράφησης είναι δωρεάν και αρκετά εύκολη στην εγκατάσταση. Απλώς ακολουθήστε αυτόν τον βήμα προς βήμα οδηγό για την προστασία των χρηστών και του διακομιστή σας. Θα μάθετε επίσης πώς να δοκιμάζετε τις υπηρεσίες που χρησιμοποιείτε για να δείτε πόσο ασφαλείς είναι.
Γιατί οι σουίτες Cipher είναι σημαντικές
Τα IIS της Microsoft είναι αρκετά υπέροχα. Είναι εύκολο να ρυθμιστεί και να συντηρηθεί. Έχει μια φιλική προς το χρήστη διεπαφή γραφικών που κάνει τη διαμόρφωση ένα αεράκι. Τρέχει σε Windows. Τα IIS έχουν πολλά να κάνουν, αλλά πραγματικά πέφτουν όταν πρόκειται για προεπιλογές ασφαλείας.
Δείτε πώς λειτουργεί μια ασφαλής σύνδεση. Το πρόγραμμα περιήγησής σας ξεκινά μια ασφαλή σύνδεση σε έναν ιστότοπο. Αυτό εντοπίζεται πιο εύκολα από μια διεύθυνση URL που ξεκινά με το "HTTPS: //". Ο Firefox προσφέρει ένα μικρό εικονίδιο κλειδώματος για να διευκρινίσει περαιτέρω το σημείο. Οι Chrome, Internet Explorer και Safari έχουν όλες παρόμοιες μεθόδους για να σας ενημερώσουν ότι η σύνδεσή σας είναι κρυπτογραφημένη. Ο διακομιστής με τον οποίο συνδέεστε στις απαντήσεις στο πρόγραμμα περιήγησής σας με μια λίστα επιλογών κρυπτογράφησης για να διαλέξετε με τη σειρά των προτιμότερων από το λιγότερο Το πρόγραμμα περιήγησής σας κατεβαίνει στη λίστα έως ότου εντοπίσει μια επιλογή κρυπτογράφησης που της αρέσει και θα ξεκινήσουμε Τα υπόλοιπα, όπως λένε, είναι μαθηματικά. (Κανείς δεν το λέει αυτό.)
Το μοιραίο ελάττωμα σε αυτό είναι ότι δεν δημιουργούνται όλες οι επιλογές κρυπτογράφησης εξίσου. Μερικοί χρησιμοποιούν πολύ σπουδαίους αλγόριθμους κρυπτογράφησης (ECDH), άλλοι είναι λιγότερο σπουδαίοι (RSA), και μερικοί απλώς δεν καλούνται (DES). Ένα πρόγραμμα περιήγησης μπορεί να συνδεθεί σε έναν διακομιστή χρησιμοποιώντας οποιαδήποτε από τις επιλογές που παρέχει ο διακομιστής. Εάν ο ιστότοπός σας προσφέρει ορισμένες επιλογές ECDH αλλά και ορισμένες επιλογές DES, ο διακομιστής σας θα συνδεθεί και στις δύο. Η απλή πράξη προσφοράς αυτών των κακών επιλογών κρυπτογράφησης καθιστά τον ιστότοπό σας, τον διακομιστή σας και τους χρήστες σας δυνητικά ευάλωτους. Δυστυχώς, από προεπιλογή, το IIS παρέχει μερικές πολύ κακές επιλογές. Όχι καταστροφικό, αλλά σίγουρα όχι καλό.
Πώς να δείτε πού στέκεστε
Πριν ξεκινήσουμε, ίσως θελήσετε να μάθετε πού βρίσκεται ο ιστότοπός σας. Ευτυχώς, οι καλοί άνθρωποι στην Qualys παρέχουν SSL Labs σε όλους μας δωρεάν. Εάν πάτε ήττψ://ωωω.σσλλαβς.κομ/σσλτέστ/ , μπορείτε να δείτε ακριβώς πώς ο διακομιστής σας ανταποκρίνεται σε αιτήματα HTTPS. Μπορείτε επίσης να δείτε πώς συσσωρεύονται τακτικά οι υπηρεσίες που χρησιμοποιείτε.
Ένα σημείωμα προσοχής εδώ. Ακριβώς επειδή ένας ιστότοπος δεν λαμβάνει βαθμολογία Α δεν σημαίνει ότι τα άτομα που τα χρησιμοποιούν κάνουν κακή δουλειά. Τα SSL Labs διακρίνουν το RC4 ως έναν ασθενή αλγόριθμο κρυπτογράφησης παρόλο που δεν υπάρχουν γνωστές επιθέσεις εναντίον του. Είναι αλήθεια ότι είναι λιγότερο ανθεκτικό στις απόπειρες ωμής βίας από κάτι σαν το RSA ή το ECDH, αλλά δεν είναι απαραίτητα κακό. Ένας ιστότοπος μπορεί να προσφέρει μια επιλογή σύνδεσης RC4 από την ανάγκη για συμβατότητα με ορισμένα προγράμματα περιήγησης, επομένως χρησιμοποιήστε την κατάταξη των ιστότοπων ως κατευθυντήρια γραμμή, όχι μια σιδερένια δήλωση ασφάλειας ή έλλειψης αυτής.
Ενημέρωση της σουίτας Cipher
Καλύψαμε το φόντο, τώρα ας βρώσουμε τα χέρια μας. Η ενημέρωση της σουίτας επιλογών που παρέχει ο διακομιστής Windows δεν είναι απαραίτητα απλή, αλλά σίγουρα δεν είναι δύσκολη.
Για να ξεκινήσετε, πατήστε το πλήκτρο Windows + R για να εμφανιστεί το πλαίσιο διαλόγου "Εκτέλεση". Πληκτρολογήστε "gpedit.msc" και κάντε κλικ στο "OK" για να ξεκινήσετε το πρόγραμμα επεξεργασίας πολιτικής ομάδας. Εδώ θα κάνουμε τις αλλαγές μας.
Στην αριστερή πλευρά, αναπτύξτε Διαμόρφωση υπολογιστή, Πρότυπα διαχείρισης, Δίκτυο και, στη συνέχεια, κάντε κλικ στο Ρυθμίσεις διαμόρφωσης SSL.
Στη δεξιά πλευρά, κάντε διπλό κλικ στο SSL Cipher Suite Order.
Από προεπιλογή, επιλέγεται το κουμπί "Δεν έχει ρυθμιστεί". Κάντε κλικ στο κουμπί "Ενεργοποιημένο" για να επεξεργαστείτε το Cipher Suites του διακομιστή σας.
Το πεδίο SSL Cipher Suites θα γεμίσει με κείμενο μόλις κάνετε κλικ στο κουμπί. Αν θέλετε να δείτε τι Cipher Suites προσφέρει ο διακομιστής σας, αντιγράψτε το κείμενο από το πεδίο SSL Cipher Suites και επικολλήστε το στο Σημειωματάριο. Το κείμενο θα είναι σε μια μεγάλη, αδιάσπαστη συμβολοσειρά. Κάθε μία από τις επιλογές κρυπτογράφησης διαχωρίζεται με κόμμα. Η τοποθέτηση κάθε επιλογής στη δική της γραμμή θα διευκολύνει την ανάγνωση της λίστας.
Μπορείτε να διαβάσετε τη λίστα και να προσθέσετε ή να καταργήσετε στο περιεχόμενο της καρδιάς σας με έναν περιορισμό. η λίστα δεν μπορεί να υπερβαίνει τους 1.023 χαρακτήρες. Αυτό είναι ιδιαίτερα ενοχλητικό, επειδή οι σουίτες κρυπτογράφησης έχουν μεγάλα ονόματα όπως "TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P384", οπότε επιλέξτε προσεκτικά. Προτείνω να χρησιμοποιήσετε τη λίστα που έγραψε ο Steve Gibson στο GRC.com: ήττψ://ωωω.γρκ.κομ/μισσφιλές/ΣΧαννελ_Σίφερ_Συίτες.τχτ .
Μόλις επιδιορθώσετε τη λίστα σας, πρέπει να τη μορφοποιήσετε για χρήση. Όπως και η αρχική λίστα, η νέα σας πρέπει να είναι μια αδιάσπαστη σειρά χαρακτήρων με κάθε κρυπτογράφηση χωρισμένο με κόμμα. Αντιγράψτε το μορφοποιημένο κείμενο και επικολλήστε το στο πεδίο SSL Cipher Suites και κάντε κλικ στο OK. Τέλος, για να κάνετε την αλλαγή stick, πρέπει να κάνετε επανεκκίνηση.
Με τη δημιουργία αντιγράφων ασφαλείας και τη λειτουργία του διακομιστή σας, κατευθυνθείτε στα εργαστήρια SSL και δοκιμάστε τον. Αν όλα πήγαν καλά, τα αποτελέσματα θα σας έδιναν βαθμολογία Α
Εάν θέλετε κάτι λίγο πιο οπτικό, μπορείτε να εγκαταστήσετε το IIS Crypto by Nartac ( ήττψ://ωωω.ναρτάκ.κομ/Προδόστς/ΗΙΣΚρυπτο/Δεφαυλτ.ασπχ ). Αυτή η εφαρμογή θα σας επιτρέψει να κάνετε τις ίδιες αλλαγές με τα παραπάνω βήματα. Σας επιτρέπει επίσης να ενεργοποιήσετε ή να απενεργοποιήσετε τις κρυπτογραφήσεις βάσει διαφόρων κριτηρίων, ώστε να μην χρειάζεται να τα περάσετε χειροκίνητα.
Ανεξάρτητα από το πώς το κάνετε, η ενημέρωση του Cipher Suites σας είναι ένας εύκολος τρόπος για να βελτιώσετε την ασφάλεια για εσάς και τους τελικούς χρήστες σας.
