Gestisci un sito Web rispettabile di cui i tuoi utenti possono fidarsi. Destra? Potresti controllarlo due volte. Se il tuo sito è in esecuzione su Microsoft Internet Information Services (IIS), potresti essere sorpreso. Quando i tuoi utenti tentano di connettersi al tuo server tramite una connessione sicura (SSL / TLS) potresti non fornire loro un'opzione sicura.
Fornire una suite di cifratura migliore è gratuito e abbastanza facile da configurare. Segui questa guida passo passo per proteggere i tuoi utenti e il tuo server. Imparerai anche come testare i servizi che utilizzi per vedere quanto sono veramente sicuri.
Perché le tue suite di cifratura sono importanti
IIS di Microsoft è davvero eccezionale. È facile da configurare e da mantenere. Ha un'interfaccia grafica facile da usare che rende la configurazione un gioco da ragazzi. Funziona su Windows. IIS ha davvero molto da offrire, ma è davvero piatto quando si tratta di impostazioni di sicurezza.
Ecco come funziona una connessione sicura. Il tuo browser avvia una connessione sicura a un sito. Questo è più facilmente identificato da un URL che inizia con "HTTPS: //". Firefox offre una piccola icona di blocco per illustrare ulteriormente il punto. Chrome, Internet Explorer e Safari hanno tutti metodi simili per farti sapere che la tua connessione è crittografata. Il server a cui ti stai collegando risponde al tuo browser con un elenco di opzioni di crittografia tra cui scegliere in ordine dalla più preferita alla meno. Il tuo browser scende l'elenco finché non trova un'opzione di crittografia che le piace e siamo in funzione. Il resto, come si suol dire, è matematica. (Nessuno lo dice.)
Il difetto fatale in questo è che non tutte le opzioni di crittografia sono create allo stesso modo. Alcuni usano algoritmi di crittografia davvero eccezionali (ECDH), altri sono meno efficaci (RSA) e alcuni sono solo sconsiderati (DES). Un browser può connettersi a un server utilizzando una qualsiasi delle opzioni fornite dal server. Se il tuo sito offre alcune opzioni ECDH ma anche alcune opzioni DES, il tuo server si connetterà a entrambe. Il semplice atto di offrire queste cattive opzioni di crittografia rende il tuo sito, il tuo server e i tuoi utenti potenzialmente vulnerabili. Sfortunatamente, per impostazione predefinita, IIS fornisce alcune opzioni piuttosto scadenti. Non catastrofico, ma decisamente non buono.
Come vedere dove ti trovi
Prima di iniziare, potresti voler sapere dove si trova il tuo sito. Per fortuna le brave persone di Qualys stanno fornendo SSL Labs a tutti noi gratuitamente. Se vai a https://www.ssllabs.com/ssltest/ , puoi vedere esattamente come il tuo server risponde alle richieste HTTPS. Puoi anche vedere come si accumulano i servizi che usi regolarmente.
Una nota di cautela qui. Solo perché un sito non riceve una valutazione A non significa che le persone che lo gestiscono stiano facendo un pessimo lavoro. SSL Labs considera RC4 un algoritmo di crittografia debole anche se non sono noti attacchi contro di esso. È vero, è meno resistente ai tentativi di forza bruta di qualcosa come RSA o ECDH, ma non è necessariamente negativo. Un sito può offrire un'opzione di connessione RC4 per necessità di compatibilità con determinati browser, quindi usa le classifiche dei siti come linee guida, non una dichiarazione di sicurezza o mancanza di sicurezza.
Aggiornamento della suite di cifratura
Abbiamo coperto lo sfondo, ora sporchiamoci le mani. L'aggiornamento della suite di opzioni fornite dal tuo server Windows non è necessariamente semplice, ma sicuramente non è nemmeno difficile.
Per iniziare, premi il tasto Windows + R per visualizzare la finestra di dialogo "Esegui". Digita "gpedit.msc" e fai clic su "OK" per avviare l'Editor criteri di gruppo. È qui che apporteremo le nostre modifiche.
Sul lato sinistro, espandere Configurazione computer, Modelli amministrativi, Rete, quindi fare clic su Impostazioni di configurazione SSL.
Sul lato destro, fai doppio clic su SSL Cipher Suite Order.
Per impostazione predefinita, è selezionato il pulsante "Non configurato". Fare clic sul pulsante "Abilitato" per modificare le Cipher Suite del server.
Il campo SSL Cipher Suites si riempirà di testo dopo aver fatto clic sul pulsante. Se vuoi vedere cosa offre Cipher Suites il tuo server, copia il testo dal campo SSL Cipher Suites e incollalo nel Blocco note. Il testo sarà in una stringa lunga e ininterrotta. Ciascuna delle opzioni di crittografia è separata da una virgola. Mettere ogni opzione su una riga separata renderà l'elenco più facile da leggere.
Puoi scorrere l'elenco e aggiungere o rimuovere a tuo piacimento con una restrizione; l'elenco non può contenere più di 1.023 caratteri. Ciò è particolarmente fastidioso perché le suite di crittografia hanno nomi lunghi come "TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P384", quindi scegli attentamente. Consiglio di utilizzare l'elenco messo insieme da Steve Gibson su GRC.com: https://www.grc.com/miscfiles/SChannel_Cipher_Suites.txt .
Una volta che hai curato il tuo elenco, devi formattarlo per l'uso. Come l'elenco originale, il tuo nuovo deve essere una stringa di caratteri ininterrotta con ogni cifra separata da una virgola. Copia il testo formattato e incollalo nel campo SSL Cipher Suites e fai clic su OK. Infine, per fare in modo che la modifica si attenga, devi riavviare.
Con il tuo server di nuovo attivo e funzionante, vai su SSL Labs e provalo. Se tutto è andato bene, i risultati dovrebbero darti una valutazione A.
Se desideri qualcosa di un po 'più visivo, puoi installare IIS Crypto di Nartac ( https://www.nartac.com/Products/IISCrypto/Default.aspx ). Questa applicazione ti consentirà di apportare le stesse modifiche dei passaggi precedenti. Ti consente inoltre di abilitare o disabilitare le crittografie in base a una varietà di criteri in modo da non doverle esaminare manualmente.
Non importa come lo fai, aggiornare le tue Cipher Suite è un modo semplice per migliorare la sicurezza per te e per i tuoi utenti finali.
