Ako aktualizovať balík Windows Server Cipher Suite pre lepšiu bezpečnosť
Spustíte úctyhodnú webovú stránku, ktorú môžu vaši používatelia dôverovať. Správny? Možno budete chcieť znova skontrolovať. Ak vaše stránky beží na Microsoft Internet Information Services (IIS), môžete byť prekvapení. Keď sa vaši používatelia pokúšajú pripojiť na váš server cez zabezpečené pripojenie (SSL / TLS), možno im nebudete poskytovať bezpečnú možnosť.
Poskytnutie lepšieho šifrovacieho balíka je bezplatné a veľmi jednoduché nastavenie. Postupujte podľa tohto kroku krok za krokom, aby ste ochránili svojich používateľov a váš server. Naučíte sa aj otestovať služby, ktoré používate na to, aby ste videli, aká je ich bezpečnosť.
Prečo sú vaše šifrovacie suity dôležité
Microsoft IIS je skvelý. Je to jednoduché nastavenie a údržba. Má užívateľsky prívetivé grafické rozhranie, ktoré robia konfiguráciu vietorom. Beží na systéme Windows. Služba IIS naozaj veľa veľa veľa, ale skutočne padá, pokiaľ ide o predvolené zabezpečenie.
Tu funguje zabezpečené pripojenie. Váš prehliadač iniciuje zabezpečené spojenie s webom. Najjednoduchšie to identifikuje adresa URL začínajúca "HTTPS: //". Firefox ponúka malú ikonu zámku, ktorá ilustruje tento bod ďalej. Prehliadače Chrome, Internet Explorer a Safari majú všetky podobné metódy, ktoré vás informujú, že vaše pripojenie je šifrované. Server, ku ktorému sa pripájate, odpovedá na váš prehliadač so zoznamom možností šifrovania, z ktorých si môžete vybrať v poradí od najvýhodnejšieho po najmenšie. Váš prehliadač smeruje do zoznamu, kým nenájde možnosť šifrovania, ktorá sa mu páči a my sme vypnutí a spustenie. Zvyšok, ako sa hovorí, je matematika. (Nik to nehovorí.)
Zlomová chyba v tomto prípade je, že nie všetky možnosti šifrovania sú vytvorené rovnako. Niektoré používajú naozaj skvelé šifrovacie algoritmy (ECDH), iné sú skôr skvelé (RSA) a niektoré sú len nepodložené (DES). Prehliadač sa môže pripojiť k serveru pomocou ľubovoľnej možnosti, ktorú poskytuje server. Ak vaše stránky ponúkajú niektoré možnosti ECDH, ale aj niektoré možnosti DES, váš server sa k nim pripojí. Jednoduchým činom ponúkajúcim tieto zlé šifrovacie možnosti je váš web, váš server a používatelia potenciálne zraniteľní. Bohužiaľ, služba IIS štandardne poskytuje niektoré veľmi zlé možnosti. Nie katastrofálne, ale určite nie dobré.
Ako vidieť, kde stojíš
Skôr ako začneme, možno budete chcieť vedieť, kde je vaša stránka. Našťastie dobrí ľudia v spoločnosti Qualys nám bezplatne poskytujú služby SSL Labs. Ak prejdete na stránku https://www.ssllabs.com/ssltest/, môžete presne vidieť, ako váš server reaguje na požiadavky HTTPS. Môžete tiež zistiť, ako pravidelne používate služby, ktoré sa používajú.
Tu je jedna poznámka opatrná. Len preto, že stránky nedostávajú rating A, neznamená to, že ľudia, ktorí ich prevádzkujú, robia zlú prácu. SSL Labs slabí RC4 ako slabý šifrovací algoritmus, hoci proti nemu nie sú žiadne známe útoky. Je pravda, že je menej odolný voči pokusom o brutálnu silu ako niečo ako RSA alebo ECDH, ale nie je to nevyhnutne zlé. Stránka môže ponúkať možnosť pripojenia RC4 z nevyhnutnej potreby z hľadiska kompatibility s určitými prehliadačmi, takže používajte poradie stránok ako usmernenie, nie vyhlásenie o bezpečnosti alebo jeho nedostatok.
Aktualizácia šifrovacieho balíka
Pokryli sme pozadie, teraz pošpinime ruky. Aktualizácia balíka možností, ktorú poskytuje váš server Windows, nie je nevyhnutne jednoduchý, ale rozhodne nie je ani ťažké.
Ak chcete spustiť, stlačte kláves Windows + R, čím vyvoláte dialógové okno "Spustiť". Zadajte príkaz "gpedit.msc" a kliknite na tlačidlo "OK", aby ste spustili editor Zásady skupiny. Tu vykonáme naše zmeny.
Na ľavej strane rozbaľte položku Konfigurácia počítača, Šablóny na správu, Sieť a potom kliknite na položku Nastavenia konfigurácie protokolu SSL.
Na pravej strane kliknite dvakrát na Order SSL Cipher Suite.
Štandardne je vybraté tlačidlo "Neskonfigurované". Kliknite na tlačidlo "Enabled" (Povolené) na úpravu serverových Cipher Suites.
Po kliknutí na tlačidlo sa pole s diakritikou pre SSL šifrovanie zapíše textom. Ak chcete vidieť, aký Cipher Suites váš server momentálne ponúka, skopírujte text z poľa SSL Cipher Suites a vložte ho do programu Poznámkový blok. Text bude obsahovať jeden dlhý neprerušovaný reťazec. Každá z možností šifrovania je oddelená čiarkou. Uvedenie každej možnosti na vlastnú linku uľahčí čítanie zoznamu.
Môžete prejsť zoznamom a pridať alebo odstrániť do svojho srdca obsah s jedným obmedzením; zoznam nemôže mať viac ako 1 023 znakov. To je zvlášť nepríjemné, pretože šifrovacie súpravy majú dlhé mená ako "TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P384", preto si ich dôkladne vyberajte. Odporúčam používať zoznam zostavený Steveom Gibsonom na adrese GRC.com: https://www.grc.com/miscfiles/SChannel_Cipher_Suites.txt.
Akonáhle ste si vytriedili svoj zoznam, musíte ho naformátovať. Rovnako ako pôvodný zoznam, nový musí byť jeden neprerušovaný reťazec znakov s každou šifrou oddelenou čiarkou. Skopírujte formátovaný text a vložte ho do poľa SSL Cipher Suites a kliknite na tlačidlo OK. Nakoniec, aby ste zmenili palicu, musíte reštartovať.
S vašim serverom zálohujte a spustite službu SSL Labs a vyskúšajte to. Ak všetko prebehlo dobre, mali by ste získať hodnotenie A.
Ak by ste chceli niečo o niečo vizuálnejšie, môžete nainštalovať IIS Crypto od spoločnosti Nartac (https://www.nartac.com/Products/IISCrypto/Default.aspx). Táto aplikácia vám umožní vykonať rovnaké zmeny ako vyššie uvedené kroky. Umožňuje tiež povoliť alebo zakázať šifrovanie na základe rôznych kritérií, takže nemusíte prechádzať ručne.
Bez ohľadu na to, ako to urobíte, aktualizácia Cipher Suites je jednoduchý spôsob, ako zlepšiť bezpečnosť pre vás a vašich koncových používateľov.