คุณมีเว็บไซต์ที่น่าเชื่อถือซึ่งผู้ใช้ของคุณเชื่อถือได้ ขวา? คุณอาจต้องการตรวจสอบอีกครั้ง หากไซต์ของคุณทำงานบน Microsoft Internet Information Services (IIS) คุณอาจต้องประหลาดใจ เมื่อผู้ใช้ของคุณพยายามเชื่อมต่อกับเซิร์ฟเวอร์ของคุณผ่านการเชื่อมต่อที่ปลอดภัย (SSL / TLS) คุณอาจไม่ได้ให้ตัวเลือกที่ปลอดภัยแก่พวกเขา
การจัดหาชุดการเข้ารหัสที่ดีกว่านั้นฟรีและติดตั้งได้ง่าย เพียงทำตามคำแนะนำทีละขั้นตอนเพื่อปกป้องผู้ใช้และเซิร์ฟเวอร์ของคุณ นอกจากนี้คุณยังจะได้เรียนรู้วิธีทดสอบบริการที่คุณใช้เพื่อดูว่าบริการเหล่านี้ปลอดภัยเพียงใด
ทำไมชุดการเข้ารหัสของคุณจึงมีความสำคัญ
IIS ของ Microsoft นั้นยอดเยี่ยมมาก ทั้งติดตั้งและบำรุงรักษาง่าย มีอินเทอร์เฟซแบบกราฟิกที่ใช้งานง่ายซึ่งทำให้การกำหนดค่าเป็นเรื่องง่าย ทำงานบน Windows IIS มีหลายสิ่งหลายอย่างที่เกิดขึ้น แต่จริงๆแล้วล้มเหลวเมื่อพูดถึงค่าเริ่มต้นความปลอดภัย
นี่คือวิธีการทำงานของการเชื่อมต่อที่ปลอดภัย เบราว์เซอร์ของคุณเริ่มต้นการเชื่อมต่อที่ปลอดภัยไปยังไซต์ สิ่งนี้ระบุได้ง่ายที่สุดโดย URL ที่ขึ้นต้นด้วย“ HTTPS: //” Firefox เสนอไอคอนล็อคเล็ก ๆ เพื่อแสดงประเด็นเพิ่มเติม Chrome, Internet Explorer และ Safari ล้วนมีวิธีการเดียวกันในการแจ้งให้คุณทราบว่าการเชื่อมต่อของคุณเข้ารหัส เซิร์ฟเวอร์ที่คุณกำลังเชื่อมต่อเพื่อตอบกลับเบราว์เซอร์ของคุณพร้อมรายการตัวเลือกการเข้ารหัสให้เลือกตามลำดับที่ต้องการมากที่สุดถึงน้อยที่สุด เบราว์เซอร์ของคุณจะลงไปในรายการจนกว่าจะพบตัวเลือกการเข้ารหัสที่ชอบและเราจะปิดและทำงาน ส่วนที่เหลือตามที่พวกเขากล่าวคือคณิตศาสตร์ (ไม่มีใครว่าหรอก)
ข้อบกพร่องร้ายแรงในเรื่องนี้คือไม่ได้สร้างตัวเลือกการเข้ารหัสทั้งหมดเท่ากัน บางคนใช้อัลกอริธึมการเข้ารหัสที่ยอดเยี่ยมจริงๆ (ECDH) ส่วนอื่น ๆ นั้นดีน้อยกว่า (RSA) และบางอันก็ไม่ได้รับคำแนะนำ (DES) เบราว์เซอร์สามารถเชื่อมต่อกับเซิร์ฟเวอร์โดยใช้ตัวเลือกใด ๆ ที่เซิร์ฟเวอร์มีให้ หากไซต์ของคุณเสนอตัวเลือก ECDH บางตัว แต่ยังมีตัวเลือก DES ด้วยเซิร์ฟเวอร์ของคุณจะเชื่อมต่ออย่างใดอย่างหนึ่ง การเสนอตัวเลือกการเข้ารหัสที่ไม่ดีเหล่านี้ทำให้ไซต์เซิร์ฟเวอร์และผู้ใช้ของคุณมีความเสี่ยง น่าเสียดายที่โดยค่าเริ่มต้น IIS มีตัวเลือกที่ค่อนข้างแย่ ไม่หายนะ แต่ไม่ดีแน่นอน
วิธีดูว่าคุณยืนอยู่ที่ไหน
ก่อนที่เราจะเริ่มคุณอาจต้องการทราบว่าไซต์ของคุณอยู่ที่ใด โชคดีที่คนดีๆที่ Qualys ให้บริการ SSL Labs แก่พวกเราทุกคนโดยไม่เสียค่าใช้จ่าย ถ้าคุณไปที่ https://www.ssllabs.com/ssltest/ คุณสามารถดูได้อย่างชัดเจนว่าเซิร์ฟเวอร์ของคุณตอบสนองต่อคำขอ HTTPS อย่างไร คุณยังสามารถดูว่าบริการที่คุณใช้เป็นประจำเป็นอย่างไร
ข้อควรระวังประการหนึ่งที่นี่ เพียงเพราะไซต์ไม่ได้รับคะแนน A ไม่ได้หมายความว่าคนที่เรียกใช้เว็บไซต์นั้นจะทำงานได้ไม่ดี SSL Labs ตำหนิ RC4 ว่าเป็นอัลกอริทึมการเข้ารหัสที่อ่อนแอแม้ว่าจะไม่มีการโจมตีใด ๆ ก็ตาม จริงอยู่ว่ามันทนทานต่อความพยายามอย่างดุร้ายน้อยกว่าสิ่งอื่น ๆ เช่น RSA หรือ ECDH แต่ก็ไม่ได้เลวร้ายเสมอไป ไซต์อาจเสนอตัวเลือกการเชื่อมต่อ RC4 โดยไม่จำเป็นเพื่อให้เข้ากันได้กับเบราว์เซอร์บางตัวดังนั้นให้ใช้การจัดอันดับไซต์เป็นแนวทางไม่ใช่การประกาศความปลอดภัยหรือการขาดสิ่งนั้น
การอัปเดต Cipher Suite ของคุณ
เราได้กล่าวถึงพื้นหลังแล้วตอนนี้เรามาทำความสะอาดมือของเรากัน การอัปเดตชุดตัวเลือกที่เซิร์ฟเวอร์ Windows ของคุณมีให้นั้นไม่จำเป็นต้องตรงไปตรงมา แต่ก็ไม่ใช่เรื่องยากเช่นกัน
ในการเริ่มต้นให้กด Windows Key + R เพื่อเปิดกล่องโต้ตอบ“ เรียกใช้” พิมพ์“ gpedit.msc” แล้วคลิก“ ตกลง” เพื่อเปิดตัวแก้ไขนโยบายกลุ่ม นี่คือที่ที่เราจะทำการเปลี่ยนแปลง
ทางด้านซ้ายมือขยาย Computer Configuration, Administrative Templates, Network แล้วคลิกที่ SSL Configuration Settings
ทางด้านขวามือให้ดับเบิลคลิกที่คำสั่ง SSL Cipher Suite
โดยค่าเริ่มต้นปุ่ม“ ไม่ได้กำหนดค่า” จะถูกเลือก คลิกที่ปุ่ม“ เปิดใช้งาน” เพื่อแก้ไข Cipher Suites ของเซิร์ฟเวอร์ของคุณ
ฟิลด์ SSL Cipher Suites จะกรอกข้อความเมื่อคุณคลิกปุ่ม หากคุณต้องการดูว่าเซิร์ฟเวอร์ของคุณกำลังนำเสนอชุด Cipher ใดให้คัดลอกข้อความจากฟิลด์ SSL Cipher Suites และวางลงใน Notepad ข้อความจะอยู่ในสตริงที่ยาวและไม่ขาดเส้นเดียว ตัวเลือกการเข้ารหัสแต่ละตัวจะคั่นด้วยเครื่องหมายจุลภาค การวางแต่ละตัวเลือกไว้ในบรรทัดของตัวเองจะทำให้อ่านรายชื่อได้ง่ายขึ้น
คุณสามารถดูรายการและเพิ่มหรือลบเนื้อหาในใจของคุณได้โดยมีข้อ จำกัด เพียงข้อเดียว รายการต้องมีความยาวไม่เกิน 1,023 อักขระ สิ่งนี้น่ารำคาญเป็นพิเศษเนื่องจากชุดการเข้ารหัสมีชื่อยาว ๆ เช่น“ TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P384” ดังนั้นโปรดเลือกอย่างระมัดระวัง ฉันขอแนะนำให้ใช้รายการที่ Steve Gibson รวบรวมไว้ที่ GRC.com: https://www.grc.com/miscfiles/SChannel_Cipher_Suites.txt .
เมื่อคุณจัดการรายการของคุณแล้วคุณต้องจัดรูปแบบเพื่อใช้งาน เช่นเดียวกับรายการเดิมรายการใหม่ของคุณจะต้องเป็นสตริงอักขระที่ไม่ขาดกันหนึ่งสตริงโดยมีการเข้ารหัสแต่ละตัวคั่นด้วยเครื่องหมายจุลภาค คัดลอกข้อความที่จัดรูปแบบของคุณแล้ววางลงในฟิลด์ SSL Cipher Suites แล้วคลิกตกลง สุดท้ายเพื่อให้การเปลี่ยนแปลงติดคุณต้องรีบูต
เมื่อเซิร์ฟเวอร์ของคุณสำรองและทำงานตรงไปที่ SSL Labs และทดสอบ หากทุกอย่างเป็นไปด้วยดีผลลัพธ์ควรให้คะแนน A
หากคุณต้องการภาพที่ชัดเจนขึ้นคุณสามารถติดตั้ง IIS Crypto โดย Nartac ( https://www.nartac.com/Products/IISCrypto/Default.aspx ). แอปพลิเคชันนี้จะอนุญาตให้คุณทำการเปลี่ยนแปลงเช่นเดียวกับขั้นตอนข้างต้น นอกจากนี้ยังช่วยให้คุณสามารถเปิดหรือปิดการใช้งานการเข้ารหัสตามเกณฑ์ต่างๆได้ดังนั้นคุณจึงไม่ต้องดำเนินการด้วยตนเอง
ไม่ว่าคุณจะทำอย่างไรการอัปเดต Cipher Suites เป็นวิธีง่ายๆในการปรับปรุงความปลอดภัยสำหรับคุณและผู้ใช้ปลายทาง
