Pokrećete respektabilnu web stranicu koju vaši korisnici mogu pouzdati. Pravo? Možda biste htjeli provjeriti to. Ako vaša web stranica radi na Microsoft Internet Information Services (IIS), možda ćete biti iznenađeni. Kada se korisnici pokušaju povezati s vašim poslužiteljem preko sigurne veze (SSL / TLS), nećete im pružiti sigurnu opciju.
Pružanje bolje šifra suite je besplatan i prilično jednostavan za postavljanje. Samo slijedite ovaj korak po korak vodič kako bi zaštitili svoje korisnike i vaš poslužitelj. Također ćete naučiti testirati usluge koje koristite da biste vidjeli koliko su sigurni.
Microsoftov IIS je prilično velik. Jednostavno je postavljanje i održavanje. Ima user friendly grafičko sučelje koje čini konfiguraciju povjetarac. Pokreće se na sustavu Windows. IIS doista ima puno toga za to, ali zaista je ispravan kad se radi o sigurnosnim zadanim postavkama.
Evo kako funkcionira sigurna veza. Vaš preglednik pokreće sigurnu vezu na web mjesto. To se najlakše prepoznaje URL koji započinje s "HTTPS: //". Firefox nudi malu ikonu za zaključavanje kako bi ilustrirala točku dalje. Chrome, Internet Explorer i Safari imaju slične metode kako bi vas obavijestili da je vaša veza šifrirana. Poslužitelj na koji se povezujete odgovara vašem pregledniku s popisom opcija šifriranja koje možete odabrati po redoslijedu najviše preferiranih. Vaš preglednik ide prema dolje na popisu sve dok ne pronađe opciju šifriranja koja mu se sviđa, a mi se isključujemo i prikazujemo. Ostali su, kako kažu, matematika. (Nitko to ne kaže.)
Fatalni nedostatak u tome je da nisu sve opcije šifriranja stvorene podjednako. Neki koriste stvarno velike algoritme za šifriranje (ECDH), drugi su manje vrijedni (RSA), a neki su samo bolesni savjetovani (DES). Preglednik se može povezati s poslužiteljem pomoću bilo koje opcije koje pruža poslužitelj. Ako vaša web-lokacija nudi neke ECDH opcije, ali i neke opcije DES, poslužitelj će se povezati s bilo kojom. Jednostavan čin za pružanje tih loših opcija šifriranja čini vašu web-lokaciju, vaš poslužitelj i korisnike potencijalno ranjiv. Nažalost, prema zadanim postavkama, IIS pruža neke prilično male opcije. Nije katastrofalno, ali definitivno nije dobro.
Prije nego što počnemo, možda biste željeli saznati gdje se nalazi vaša web-lokacija. Srećom, dobri ljudi na tvrtki Qualys pružaju SSL Labs svim nas besplatno. Ako idete na https://www.ssllabs.com/ssltest/, možete vidjeti točno kako vaš poslužitelj reagira na HTTPS zahtjeve. Također možete vidjeti kako se usluge koje redovito koristite stoje.
Ovdje je jedna opaska opreza. Samo zato što web mjesto ne dobiva ocjenu, ne znači da ljudi koji ih pokreću čine loš posao. SSL Labs slabi RC4 kao slab algoritam šifriranja, iako nema napada na njega. Istina, manje je otporna na pokušaj brutalne sile nego nešto poput RSA ili ECDH, ali to nije nužno loše. Web-lokacija može ponuditi opciju povezivanja RC4 iz nužde za kompatibilnost s određenim preglednicima, stoga koristite rangove web mjesta kao smjernicu, a ne željeznu deklaraciju o sigurnosti ili nedostatku istih.
Pokrili smo pozadinu, sada neka nam prljava ruke. Ažuriranje kompleta opcija koje vaš Windows poslužitelj pruža ne mora nužno biti jasan, ali svakako nije teško.
Za početak pritisnite Windows tipku + R da biste pokrenuli dijaloški okvir "Run". Upišite "gpedit.msc" i kliknite "U redu" da biste pokrenuli uređivač pravila grupe. Ovdje ćemo napraviti naše promjene.
Na lijevoj strani proširite Konfiguracija računala, Administrativni predlošci, Mreža, a zatim kliknite Postavke konfiguracije SSL-a.
S desne strane dvaput kliknite SSL Cipher Suite Order.
Prema zadanim postavkama odabran je gumb "Nije konfiguriran". Kliknite gumb "Omogućeno" da biste uredili Cipher Suites poslužitelja.
Polje SSL Cipher Suites ispunit će se tekstom nakon što kliknete gumb. Ako želite vidjeti što Cipher Suites vaš poslužitelj trenutno nudi, kopirajte tekst iz polja SSL Cipher Suites i zalijepite ga u Notepad. Tekst će biti u jednom dugom, neprekinutom nizu. Svaka opcija šifriranja odvaja se zarezom. Stavljanje svake opcije na vlastitu liniju učinit će popis lakšim za čitanje.
Možete proći kroz popis i dodati ili ukloniti sadržaj vašeg srca jednim ograničenjem; popis ne smije biti veći od 1.023 znaka. To je osobito neugodno jer su šifrirani apartmani imaju duga imena poput "TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P384" pa pažljivo izaberite. Preporučujem upotrebu popisa kojeg je sastavio Steve Gibson preko GRC.coma: https://www.grc.com/miscfiles/SChannel_Cipher_Suites.txt.
Nakon što uredite svoj popis, morate ga oblikovati za upotrebu. Poput izvornog popisa, vaš novi treba biti jedan neprekinuti niz znakova s svakim šifrom odvojen zarezom. Kopirajte formatirani tekst i zalijepite ga u polje SSL Cipher Suites i kliknite OK. Naposljetku, da biste promijenili promjenu, morate se ponovno pokrenuti.
Uz pomoć poslužitelja natrag i trčanje, glava do SSL Labs i test it out. Ako sve bude dobro, rezultati bi vam trebali dati ocjenu A.
Ako želite nešto malo vizualnije, možete instalirati IIS Crypto prema Nartac (https://www.nartac.com/Products/IISCrypto/Default.aspx). Ova aplikacija će vam omogućiti da napravite iste izmjene kao i gore navedene korake. Također vam omogućuje da omogućite ili onemogućite šifre na temelju različitih kriterija, tako da ih ne morate rukovati ručno.
Bez obzira na to kako to učinite, ažuriranje Cipher Suites je jednostavan način za poboljšanje sigurnosti za vas i vaše krajnje korisnike.