אתה מנהל אתר מכובד שהמשתמשים שלך יכולים לסמוך עליו. ימין? אולי תרצה לבדוק זאת שוב. אם האתר שלך פועל בשירותי האינטרנט של מיקרוסופט (IIS), יתכן שתפתיע. כאשר המשתמשים שלך מנסים להתחבר לשרת שלך באמצעות חיבור מאובטח (SSL / TLS) ייתכן שלא תספק להם אפשרות בטוחה.
מתן חבילת צופן טובה יותר הוא די קל להתקנה. פשוט עקוב אחר המדריך שלב אחר שלב כדי להגן על המשתמשים שלך ועל השרת שלך. תלמד גם כיצד לבדוק שירותים שבהם אתה משתמש כדי לראות עד כמה הם באמת בטוחים.
מדוע סוויטות הצופן שלך חשובות
ה- IIS של מיקרוסופט די נהדר. קל להתקנה ולתחזוקה. יש לו ממשק גרפי ידידותי למשתמש שהופך את התצורה לרוח. זה פועל על Windows. ל- IIS יש באמת הרבה דברים, אבל באמת נופל כשמדובר ברירות מחדל ביטחוניות.
כך עובד חיבור מאובטח. הדפדפן שלך יוזם חיבור מאובטח לאתר. זה מזוהה בקלות על ידי כתובת אתר המתחילה ב- "HTTPS: //". Firefox מציע סמל נעילה קטן כדי להמחיש את הנקודה נוספת. ל- Chrome, Internet Explorer ו- Safari יש שיטות דומות להודיע לך שהחיבור שלך מוצפן. השרת שאליו אתה מתחבר עונה לדפדפן שלך עם רשימה של אפשרויות הצפנה לבחירה לפי הסדר המועדף על הפחות. הדפדפן שלך יורד ברשימה עד שהוא מוצא אפשרות הצפנה שהוא אוהב ואנחנו יוצאים לדרך. השאר, כמו שאומרים, זה מתמטיקה. (אף אחד לא אומר את זה.)
הפגם הקטלני בכך הוא שלא כל אפשרויות ההצפנה נוצרות באותה מידה. יש המשתמשים באלגוריתמי הצפנה נהדרים (ECDH), אחרים פחות נהדרים (RSA), וחלקם פשוט לא מומלץ (DES). דפדפן יכול להתחבר לשרת באמצעות כל אחת מהאפשרויות שהשרת מספק. אם האתר שלך מציע כמה אפשרויות ECDH אבל גם כמה אפשרויות DES, השרת שלך יתחבר באחת מהן. הפעולה הפשוטה של הצעת אפשרויות הצפנה גרועות אלה הופכת את האתר שלך, השרת שלך והמשתמשים שלך לפגיעים. למרבה הצער, כברירת מחדל, IIS מספק אפשרויות די גרועות. לא קטסטרופלי, אבל בהחלט לא טוב.
איך לראות איפה אתה עומד
לפני שנתחיל, כדאי לך לדעת היכן האתר שלך נמצא. למרבה המזל האנשים הטובים בקוואליס מספקים מעבדות SSL לכולנו ללא תשלום. אם אתה הולך ל https://www.ssllabs.com/ssltest/ , אתה יכול לראות בדיוק איך השרת שלך מגיב לבקשות HTTPS. אתה יכול גם לראות כיצד שירותים אתה משתמש באופן קבוע מסתדרים.
הערה אחת של זהירות כאן. רק בגלל שאתר לא מקבל דירוג A זה לא אומר שהאנשים שמנהלים אותו עושים עבודה גרועה. מעבדות SSL מחריפות את RC4 כאלגוריתם הצפנה חלש למרות שאין שום התקפות ידועות נגדו. נכון, הוא פחות עמיד בפני ניסיונות כוח ברוטיים מאשר משהו כמו RSA או ECDH, אבל זה לא בהכרח רע. אתר עשוי להציע אפשרות חיבור RC4 מכורח הצורך לתאימות עם דפדפנים מסוימים, לכן השתמש בדירוג האתרים כקו מנחה, ולא בהצהרת אבטחה בלבוש ברזל או בהיעדרם.
עדכון חבילת הצפנה שלך
כיסינו את הרקע, עכשיו בואו נלכלך את הידיים. עדכון חבילת האפשרויות ששרת Windows שלך אינו בהכרח פשוט, אך בהחלט גם לא קשה.
כדי להתחיל, לחץ על מקש Windows + R כדי להעלות את תיבת הדו-שיח "הפעל". הקלד "gpedit.msc" ולחץ על "אישור" להפעלת עורך המדיניות הקבוצתית. זה המקום בו נבצע את השינויים שלנו.
בצד שמאל הרחב את תצורת המחשב, תבניות ניהול, רשת ולחץ על הגדרות תצורת SSL.
בצד ימין, לחץ פעמיים על SSL Cipher Suite Order.
כברירת מחדל, נבחר הלחצן "לא מוגדר". לחץ על כפתור "מופעל" כדי לערוך את סוויטות הצפנה של השרת שלך.
שדה סוויטות הצפנה SSL יתמלא בטקסט ברגע שתלחץ על הכפתור. אם אתה רוצה לראות אילו סוויטות צופן מציע השרת שלך כעת, העתק את הטקסט משדה סוויטות הצפנה SSL והדבק אותו בפנקס הרשימות. הטקסט יהיה במחרוזת אחת ארוכה ולא שבורה. כל אחת מאפשרויות ההצפנה מופרדת בפסיק. הצבת כל אפשרות לשורה משלה תקל על הקריאה ברשימה.
אתה יכול לעבור על הרשימה ולהוסיף או להסיר את תוכן ליבך עם מגבלה אחת; הרשימה לא יכולה להכיל יותר מ -1,023 תווים. זה מעצבן במיוחד מכיוון שלסוויטות הצופן יש שמות ארוכים כמו "TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P384", אז בחר בזהירות. אני ממליץ להשתמש ברשימה שהרכיב סטיב גיבסון באתר GRC.com: https://www.grc.com/miscfiles/SChannel_Cipher_Suites.txt .
לאחר שאצרת את הרשימה שלך, עליך לעצב אותה לשימוש. כמו הרשימה המקורית, הרשימה החדשה שלך צריכה להיות מחרוזת תווים אחת לא שבורה כאשר כל צופן מופרד בפסיק. העתק את הטקסט המעוצב שלך והדבק אותו בשדה סוויטות הצפנה SSL ולחץ על אישור. לבסוף, כדי לגרום לשינוי להישאר, אתה צריך לאתחל מחדש.
כשהשרת שלך מופעל מחדש, עבור אל מעבדות SSL ובדוק אותו. אם הכל הלך כשורה, התוצאות צריכות לתת לך דירוג A.
אם תרצה משהו קצת יותר ויזואלי, תוכל להתקין את IIS Crypto על ידי Nartac ( https://www.nartac.com/Products/IISCrypto/Default.aspx ). יישום זה יאפשר לך לבצע את אותם שינויים כמו השלבים לעיל. זה גם מאפשר לך להפעיל או להשבית צפנים על סמך מגוון קריטריונים, כך שלא תצטרך לעבור עליהם ידנית.
לא משנה איך תעשה את זה, עדכון סוויטות הצפנה שלך הוא דרך קלה לשפר את האבטחה עבורך ועבור משתמשי הקצה שלך.
