Kaip atnaujinti „Windows Server Cipher Suite“ geresniam saugumui
Vykdote garbingą svetainę, kurią vartotojai gali pasitikėti. Gerai? Galbūt norėsite tai dar kartą patikrinti. Jei jūsų svetainė veikia „Microsoft Internet Information Services“ (IIS), jums gali tekti nustebinti. Kai naudotojai bando prisijungti prie serverio per saugų ryšį (SSL / TLS), gali būti, kad negalėsite suteikti jiems saugios parinkties.
Geresnis šifravimo rinkinys yra nemokama ir gana paprasta. Paprasčiausiai vadovaukitės šiuo žingsniu, kad apsaugotumėte naudotojus ir serverį. Taip pat sužinosite, kaip išbandyti paslaugas, kurias naudojate norėdami pamatyti, kaip saugiai jie yra.
Kodėl „Cipher Suites“ yra svarbūs
„Microsoft“ IIS yra gana didelis. Tai lengva nustatyti ir prižiūrėti. Jis turi patogią grafinę sąsają, kuri leidžia konfigūruoti vėjas. Jis veikia „Windows“ sistemoje. IIS iš tikrųjų yra labai daug, tačiau iš tikrųjų patenka į saugumo įsipareigojimų nevykdymą.
Štai kaip veikia saugus ryšys. Jūsų naršyklė inicijuoja saugų ryšį su svetaine. Tai lengviausia identifikuoti URL, prasidedančiu „HTTPS: //“. „Firefox“ siūlo šiek tiek užrakto piktogramą, kad iliustruotų tašką toliau. „Chrome“, „Internet Explorer“ ir „Safari“ turi panašius metodus, leidžiančius jums žinoti, kad jūsų ryšys yra užšifruotas. Serveris, prie kurio prisijungiate, atsako į naršyklę su šifravimo parinkčių sąrašu, kurį galite pasirinkti pagal pageidaujamą mažiausiai. Jūsų naršyklė nusileidžia į sąrašą, kol ji suranda norimą šifravimo parinktį ir mes išjungiame ir veikia. Likusi dalis, kaip sakoma, yra matematika. (Niekas to nesako.)
Mirtinas trūkumas yra tas, kad ne visos šifravimo parinktys sukuriamos vienodai. Kai kurie naudoja tikrai puikius šifravimo algoritmus (ECDH), kiti - mažiau (RSA), o kai kurie - tik blogai (DES). Naršyklė gali prisijungti prie serverio naudodama bet kurią serverio teikiamą parinktį. Jei jūsų svetainė siūlo kai kurias ECDH parinktis, bet taip pat kai kurias DES parinktis, jūsų serveris taip pat prisijungs. Paprastas šių blogų šifravimo parinkčių pasiūlymas daro jūsų svetainę, serverį ir naudotojus pažeidžiamais. Deja, pagal numatytuosius nustatymus IIS suteikia keletą netinkamų galimybių. Ne katastrofiškas, bet tikrai nėra geras.
Kaip pamatyti, kur stovi
Prieš pradėdami, galbūt norėsite sužinoti, kur yra jūsų svetainė. Laimei, geri žmonės, esantys „Qualys“, visiems nemokamai teikia SSL laboratorijas. Jei einate į https://www.ssllabs.com/ssltest/, galite tiksliai matyti, kaip jūsų serveris reaguoja į HTTPS užklausas. Taip pat galite pamatyti, kaip reguliariai sukauptos paslaugos.
Čia atkreipkite dėmesį į atsargumą. Tiesiog todėl, kad svetainė negavo A reitingo, tai nereiškia, kad žmonės, dirbantys juos, daro blogą darbą. SSL Labs slams RC4 kaip silpną šifravimo algoritmą, nors nėra žinomų atakų prieš jį. Tiesa, jis yra mažiau atsparus brutalinių jėgų bandymams nei kažkas panašaus į RSA ar ECDH, bet tai nebūtinai yra bloga. Svetainė gali pasiūlyti RC4 ryšio parinktį, nes reikia suderinamumo su tam tikromis naršyklėmis, todėl naudokite svetainių reitingus kaip gairę, o ne geležies plakiruotą saugumo deklaraciją arba jos trūkumą.
„Cipher Suite“ atnaujinimas
Mes apėmėme foną, dabar nuvalykite rankas. „Windows“ serverio teikiamų parinkčių rinkinio atnaujinimas nebūtinai yra paprastas, bet tai tikrai nėra sunku.
Norėdami pradėti, paspauskite „Windows“ klavišą + R ir atidarykite dialogo langą „Vykdyti“. Įveskite „gpedit.msc“ ir spustelėkite „OK“, kad paleistumėte grupės strategijos redaktorių. Čia mes padarysime pakeitimus.
Kairėje pusėje išskleiskite Kompiuterio konfigūracija, Administravimo šablonai, Tinklas ir spustelėkite SSL konfigūracijos nustatymus.
Dešinėje pusėje dukart spustelėkite SSL Cipher Suite Order.
Pagal numatytuosius nustatymus yra pasirinktas „Not Configured“ mygtukas. Spustelėkite mygtuką „Įjungta“, kad redaguotumėte savo serverio „Cipher Suites“.
„SSL Cipher Suites“ laukas užpildys tekstą, kai spustelėsite mygtuką. Jei norite pamatyti, ką „Cipher Suites“ jūsų serveris siūlo, nukopijuokite tekstą iš SSL „Cipher Suites“ lauko ir įklijuokite jį į „Notepad“. Tekstas bus vienoje ilgoje, nepertraukiamoje eilutėje. Kiekviena šifravimo parinktis yra atskirtos kableliu. Kiekvienos parinkties įtraukimas į savo eilutę padės jį lengviau skaityti.
Galite pereiti per sąrašą ir pridėti arba pašalinti savo širdies turinį vienu apribojimu; sąrašas negali būti didesnis kaip 1023 simboliai. Tai ypač erzina, nes šifravimo apartamentai turi ilgus pavadinimus, pvz., „TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P384“, todėl pasirinkite atsargiai. Aš rekomenduoju naudoti Steve Gibsono sudarytą sąrašą GRC.com adresu: https://www.grc.com/miscfiles/SChannel_Cipher_Suites.txt.
Kai kuriate savo sąrašą, turite jį formatuoti naudojimui. Kaip ir pradiniame sąraše, jūsų naujasis turi būti vienas nepertraukiamas simbolių eilutė, kiekvienas šifras atskiriamas kableliu. Nukopijuokite formatuotą tekstą ir įklijuokite jį į SSL Cipher Suites lauką ir spustelėkite Gerai. Galiausiai, norėdami padaryti pakeitimus, turite paleisti iš naujo.
Paleiskite serverį atgal ir paleiskite į SSL laboratorijas ir išbandykite. Jei viskas vyko gerai, rezultatai turėtų suteikti jums A reitingą.
Jei norėtumėte kažką šiek tiek daugiau vizualiai, galite įdiegti „IIS Crypto“ iš „Nartac“ (https://www.nartac.com/Products/IISCrypto/Default.aspx). Ši programa leis atlikti tuos pačius pakeitimus kaip ir anksčiau aprašyti veiksmai. Jis taip pat leidžia įgalinti arba išjungti šifrus, pagrįstus įvairiais kriterijais, todėl nereikia rankiniu būdu juos peržiūrėti.
Nesvarbu, kaip tai darote, atnaujindami „Cipher Suites“ yra paprastas būdas pagerinti jūsų ir jūsų galutinių vartotojų saugumą.