Sinulla on kunnioitettava verkkosivusto, johon käyttäjät voivat luottaa. Eikö? Haluat ehkä tarkistaa sen vielä kerran. Jos sivustosi toimii Microsoft Internet Information Services (IIS) -palvelussa, saatat olla yllätys. Kun käyttäjät yrittävät muodostaa yhteyden palvelimeesi suojatun yhteyden (SSL / TLS) kautta, et ehkä tarjoa heille turvallista vaihtoehtoa.
Paremman salauspaketin tarjoaminen on ilmaista ja melko helppo asentaa. Noudata vain tätä askel askeleelta -ohjetta käyttäjien ja palvelimesi suojaamiseksi. Opit myös testaamaan käyttämäsi palvelut nähdäksesi, kuinka turvallisia ne todella ovat.
Miksi Cipher-sviitisi ovat tärkeitä
Microsoftin IIS on melko hieno. Se on helppo asentaa ja ylläpitää. Siinä on käyttäjäystävällinen graafinen käyttöliittymä, joka tekee kokoonpanosta helppoa. Se toimii Windowsissa. IIS: llä on todella paljon tekemistä siihen, mutta se putoaa tasaisesti, kun on kyse suojausoletuksista.
Näin suojattu yhteys toimii. Selaimesi muodostaa suojatun yhteyden sivustoon. Tämän tunnistaa helpoimmin URL-osoite, joka alkaa "HTTPS: //". Firefox tarjoaa pienen lukituskuvakkeen havainnollistamaan asiaa edelleen. Chromella, Internet Explorerilla ja Safarilla on kaikki samanlaiset menetelmät kertoa, että yhteys on salattu. Palvelin, johon muodostat yhteyden, vastaa selaimeesi ja sisältää luettelon salausvaihtoehdoista, joista voit valita edullisimman ja vähiten. Selaimesi menee alaspäin luettelosta, kunnes löytää haluamansa salausvaihtoehdon ja olemme poissa käytöstä. Loput, kuten sanotaan, ovat matematiikkaa. (Kukaan ei sano niin.)
Kohtalokas virhe tässä on se, että kaikkia salausvaihtoehtoja ei luoda yhtä. Jotkut käyttävät todella hyviä salausalgoritmeja (ECDH), toiset ovat vähemmän hyviä (RSA), ja jotkut ovat vain huonosti suositeltuja (DES). Selain voi muodostaa yhteyden palvelimeen käyttämällä mitä tahansa palvelimen tarjoamista vaihtoehdoista. Jos sivustosi tarjoaa joitain ECDH-vaihtoehtoja, mutta myös joitain DES-vaihtoehtoja, palvelimesi muodostaa yhteyden molempiin. Näiden huonojen salausvaihtoehtojen yksinkertainen tarjoaminen tekee sivustostasi, palvelimestasi ja käyttäjistäsi mahdollisesti haavoittuvia. Valitettavasti IIS tarjoaa oletusarvoisesti melko huonoja vaihtoehtoja. Ei katastrofaalinen, mutta ei varmasti hyvä.
Kuinka nähdä missä seisot
Ennen kuin aloitamme, saatat haluta tietää, missä sivustosi on. Onneksi Qualysin hyvät ihmiset tarjoavat SSL Labsia meille kaikille ilmaiseksi. Jos menet https://www.ssllabs.com/ssltest/ , näet tarkalleen, kuinka palvelimesi vastaa HTTPS-pyyntöihin. Voit myös nähdä, kuinka säännöllisesti käyttämäsi palvelut pinotaan.
Yksi huomautus tästä. Se, että sivusto ei saa A-luokitusta, ei tarkoita sitä, että niitä ylläpitävät ihmiset tekevät huonoa työtä. SSL Labs iski RC4: n heikkona salausalgoritmina, vaikka sitä ei tunnettaisikaan. Totta, se on vähemmän vastustuskykyinen raakaa voimaa koskeville yrityksille kuin RSA tai ECDH, mutta se ei välttämättä ole huono. Sivusto voi tarjota RC4-yhteysvaihtoehdon välttämättömyydestä yhteensopivuuteen tiettyjen selainten kanssa, joten käytä sivustojen luokitusta ohjeena, älä rautaisena suojausilmoituksena tai sen puuttumisena.
Cipher Suite -sovelluksen päivittäminen
Olemme peittäneet taustan, nyt likaistaan kätemme. Windows-palvelimen tarjoamien vaihtoehtojen päivittäminen ei ole välttämättä suoraviivaista, mutta se ei todellakaan ole myöskään vaikeaa.
Aloita painamalla Windows-näppäintä + R, jolloin esiin tulee Suorita-valintaikkuna. Kirjoita "gpedit.msc" ja napsauta "OK" käynnistääksesi ryhmäkäytäntöeditorin. Tässä teemme muutoksemme.
Laajenna vasemmalla puolella Tietokoneen kokoonpano, Hallintamallit, Verkko ja napsauta sitten SSL-kokoonpanoasetukset.
Kaksoisnapsauta oikealla puolella SSL Cipher Suite Order.
Oletusarvon mukaan “Ei määritetty” -painike on valittu. Voit muokata palvelimesi Cipher Suites -sovellusta napsauttamalla Käytössä-painiketta.
SSL Cipher Suites -kenttä täyttyy tekstillä, kun napsautat painiketta. Jos haluat nähdä palvelimesi tarjoamat Cipher Suites -sovellukset, kopioi teksti SSL Cipher Suites -kentästä ja liitä se Muistioon. Teksti tulee olemaan yksi pitkä, katkeamaton merkkijono. Jokainen salausvaihtoehto erotetaan pilkulla. Kunkin vaihtoehdon sijoittaminen omalle rivilleen helpottaa luettelon lukemista.
Voit käydä läpi luettelon ja lisätä tai poistaa sydämesi sisältöön yhdellä rajoituksella. luettelossa saa olla enintään 1023 merkkiä. Tämä on erityisen ärsyttävää, koska salauspaketeilla on pitkät nimet, kuten “TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P384”, joten valitse huolellisesti. Suosittelen käyttämään luetteloa, jonka Steve Gibson on laatinut osoitteessa GRC.com: https://www.grc.com/miscfiles/SChannel_Cipher_Suites.txt .
Kun olet kuratoinut luettelosi, sinun on alustettava se käyttöä varten. Kuten alkuperäisessä luettelossa, uuden täytyy olla yksi katkeamaton merkkijono, jokainen salaus erotetaan pilkulla. Kopioi muotoiltu teksti ja liitä se SSL Cipher Suites -kenttään ja napsauta OK. Lopuksi, jotta muutos pysyy kiinni, sinun on käynnistettävä uudelleen.
Kun palvelimesi on varmuuskopioitu ja käynnissä, siirry SSL Labs -palveluun ja testaa se. Jos kaikki meni hyvin, tulosten pitäisi antaa sinulle A-luokitus.
Jos haluat jotain hieman visuaalisempaa, voit asentaa IIS Crypto by Nartac ( https://www.nartac.com/Products/IISCrypto/Default.aspx ). Tämän sovelluksen avulla voit tehdä samat muutokset kuin yllä olevat vaiheet. Sen avulla voit myös ottaa salauksen käyttöön tai poistaa sen käytöstä useiden ehtojen perusteella, joten sinun ei tarvitse käydä niitä läpi manuaalisesti.
Riippumatta siitä, miten teet sen, Cipher Suitesin päivittäminen on helppo tapa parantaa turvallisuutta sinulle ja loppukäyttäjillesi.
