Anda menjalankan situs web terhormat yang dapat dipercaya oleh pengguna Anda. Baik? Anda mungkin ingin memeriksa kembali itu. Jika situs Anda berjalan di Microsoft Internet Information Services (IIS), Anda mungkin akan terkejut. Ketika pengguna Anda mencoba untuk terhubung ke server Anda melalui koneksi aman (SSL / TLS), Anda mungkin tidak memberikan mereka opsi yang aman.
Menyediakan cipher suite yang lebih baik adalah gratis dan cukup mudah untuk disiapkan. Cukup ikuti panduan langkah demi langkah ini untuk melindungi pengguna dan server Anda. Anda juga akan mempelajari cara menguji layanan yang Anda gunakan untuk melihat seberapa aman mereka sebenarnya.
Mengapa Cipher Suites Anda Penting
IIS Microsoft cukup bagus. Keduanya mudah disiapkan dan dipelihara. Ini memiliki antarmuka grafis yang ramah pengguna yang membuat konfigurasi menjadi mudah. Ini berjalan di Windows. IIS benar-benar memiliki banyak manfaat untuk itu, tetapi benar-benar gagal ketika datang ke default keamanan.
Berikut cara kerja koneksi aman. Browser Anda memulai koneksi aman ke situs. Ini paling mudah diidentifikasi dengan URL yang diawali dengan "HTTPS: //". Firefox menawarkan ikon gembok kecil untuk mengilustrasikan poin lebih jauh. Chrome, Internet Explorer, dan Safari semuanya memiliki metode serupa untuk memberi tahu Anda bahwa koneksi Anda dienkripsi. Server yang Anda sambungkan untuk membalas ke browser Anda dengan daftar opsi enkripsi yang dapat dipilih dalam urutan yang paling disukai hingga paling tidak. Browser Anda menuruni daftar sampai menemukan opsi enkripsi yang disukainya dan kami tidak aktif dan berjalan. Sisanya, seperti yang mereka katakan, adalah matematika. (Tidak ada yang mengatakan itu.)
Kelemahan fatal dalam hal ini adalah tidak semua opsi enkripsi dibuat sama. Beberapa menggunakan algoritma enkripsi yang sangat hebat (ECDH), yang lain kurang hebat (RSA), dan beberapa hanya tidak disarankan (DES). Browser dapat terhubung ke server menggunakan salah satu opsi yang disediakan server. Jika situs Anda menawarkan beberapa opsi ECDH tetapi juga beberapa opsi DES, server Anda akan terhubung di keduanya. Tindakan sederhana dengan menawarkan opsi enkripsi yang buruk ini membuat situs Anda, server Anda, dan pengguna Anda berpotensi rentan. Sayangnya, secara default, IIS menyediakan beberapa opsi yang sangat buruk. Bukan bencana, tapi jelas tidak bagus.
Bagaimana Melihat Posisi Anda
Sebelum kita mulai, Anda mungkin ingin tahu di mana posisi situs Anda. Syukurlah, orang-orang baik di Qualys menyediakan Lab SSL untuk kita semua secara gratis. Jika Anda pergi ke https://www.ssllabs.com/ssltest/ , Anda dapat melihat dengan tepat bagaimana server Anda menanggapi permintaan HTTPS. Anda juga dapat melihat bagaimana layanan yang Anda gunakan secara teratur menumpuk.
Satu catatan peringatan di sini. Hanya karena situs tidak menerima peringkat A, bukan berarti orang yang menjalankannya melakukan pekerjaan yang buruk. SSL Labs mengecam RC4 sebagai algoritma enkripsi yang lemah meskipun tidak ada serangan yang diketahui terhadapnya. Benar, ini kurang tahan terhadap upaya brute force daripada sesuatu seperti RSA atau ECDH, tetapi tidak selalu buruk. Sebuah situs mungkin menawarkan opsi koneksi RC4 karena kebutuhan untuk kompatibilitas dengan browser tertentu, jadi gunakan peringkat situs sebagai pedoman, bukan deklarasi keamanan yang ketat atau ketiadaan.
Memperbarui Cipher Suite Anda
Kita telah menutupi latar belakangnya, sekarang mari kita mengotori tangan kita. Memperbarui rangkaian opsi yang disediakan server Windows Anda tidak selalu mudah, tetapi juga tidak sulit.
Untuk memulai, tekan Windows Key + R untuk memunculkan kotak dialog "Run". Ketik "gpedit.msc" dan klik "OK" untuk meluncurkan Editor Kebijakan Grup. Di sinilah kami akan membuat perubahan.
Di sisi kiri, luaskan Konfigurasi Komputer, Template Administratif, Jaringan, lalu klik Pengaturan Konfigurasi SSL.
Di sisi kanan, klik dua kali pada SSL Cipher Suite Order.
Secara default, tombol "Not Configured" dipilih. Klik pada tombol "Diaktifkan" untuk mengedit Cipher Suites server Anda.
Field SSL Cipher Suites akan terisi dengan teks setelah Anda mengklik tombol. Jika Anda ingin melihat Cipher Suites apa yang server Anda tawarkan saat ini, salin teks dari bidang SSL Cipher Suites dan tempelkan ke Notepad. Teks akan berada dalam satu string panjang yang tidak terputus. Setiap opsi enkripsi dipisahkan oleh koma. Menempatkan setiap opsi pada barisnya masing-masing akan membuat daftar lebih mudah dibaca.
Anda dapat melihat daftarnya dan menambah atau menghapus ke isi hati Anda dengan satu batasan; daftar tidak boleh lebih dari 1.023 karakter. Ini sangat mengganggu karena cipher suite memiliki nama yang panjang seperti “TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P384”, jadi pilihlah dengan hati-hati. Saya merekomendasikan menggunakan daftar yang dikumpulkan oleh Steve Gibson di GRC.com: https://www.grc.com/miscfiles/SChannel_Cipher_Suites.txt .
Setelah Anda membuat daftar, Anda harus memformatnya untuk digunakan. Seperti daftar asli, daftar baru Anda harus berupa satu string karakter yang tidak terputus dengan setiap sandi dipisahkan oleh koma. Salin teks Anda yang telah diformat dan tempelkan ke dalam bidang SSL Cipher Suites dan klik OK. Terakhir, untuk membuat perubahan tetap, Anda harus melakukan boot ulang.
Dengan server Anda kembali aktif dan berjalan, kunjungi SSL Labs dan ujilah. Jika semuanya berjalan dengan baik, hasilnya akan memberi Anda peringkat A.
Jika Anda menginginkan sesuatu yang lebih visual, Anda dapat menginstal IIS Crypto by Nartac ( https://www.nartac.com/Products/IISCrypto/Default.aspx ). Aplikasi ini memungkinkan Anda melakukan perubahan yang sama seperti langkah-langkah di atas. Ini juga memungkinkan Anda mengaktifkan atau menonaktifkan cipher berdasarkan berbagai kriteria sehingga Anda tidak perlu melakukannya secara manual.
Tidak peduli bagaimana Anda melakukannya, memperbarui Cipher Suites Anda adalah cara mudah untuk meningkatkan keamanan bagi Anda dan pengguna akhir Anda.
