Käytät kunnioitettavaa verkkosivustoa, jonka käyttäjät voivat luottaa. Oikea? Haluat ehkä tarkistaa tämän. Jos sivustosi toimii Microsoft Internet Information Services (IIS) -palvelussa, saatat olla yllätyksenä. Kun käyttäjät yrittävät muodostaa yhteyden palvelimeen suojatun yhteyden (SSL / TLS) kautta, et voi tarjota heille turvallista vaihtoehtoa.
Paremman salausalustan tarjoaminen on ilmaista ja melko helppoa. Seuraa vain tätä vaiheittaista ohjetta käyttäjien ja palvelimen suojaamiseksi. Opit myös kokeilemaan palveluita, joita käytät nähdäksesi kuinka turvallisia he todella ovat.
Microsoftin IIS on melko hyvä. Se on helppo asentaa ja ylläpitää. Se on helppokäyttöinen graafinen käyttöliittymä, joka tekee konfiguroinnista tuulen. Se toimii Windowsissa. IIS: llä on todella paljon menoa, mutta se on todella tasainen, kun kyse on tietoturva-oletuksista.
Näin suojatut yhteydet toimivat. Selaimesi aloittaa turvallisen yhteyden sivustolle. Tämä tunnistetaan helposti URL-osoitteella, joka alkaa "HTTPS: //" -ohjelmasta. Firefox tarjoaa hieman lukkokuvaketta, joka havainnollistaa pistettä edelleen. Chrome, Internet Explorer ja Safari ovat samankaltaisia tapoja kertoa, että yhteys on salattu. Palvelimesi, johon yhdistät, vastaa selaimeen ja sisältää salausvaihtoehtoja, joista valita kaikkein edullisimmin vähiten. Selaimesi menee alas luetteloon, kunnes se löytää salausvaihtoehdon, jota se pitää, ja olemme poissa käytöstä. Loput, kuten sanotaan, ovat matematiikka. (Kukaan ei sano sitä.)
Tässä kuolevainen puute on se, että kaikkia salausvaihtoehtoja ei luoda yhtäläisesti. Jotkut käyttävät todella hyviä salausalgoritmeja (ECDH), toiset eivät ole yhtä hyviä (RSA), ja jotkut ovat vain huonosti neuvotut (DES). Selaimella voi muodostaa yhteyden palvelimeen käyttämällä mitä tahansa palvelimen tarjoamista vaihtoehdoista. Jos sivustosi tarjoaa joitain ECDH-vaihtoehtoja, mutta myös joitain DES-vaihtoehtoja, palvelin muodostaa yhteyden joko. Yksinkertainen toimenpide näiden huonoiden salausasetusten tarjoamisesta tekee sivustostasi, palvelimellesi ja käyttäjillesi mahdollisesti haavoittuvuuden. Valitettavasti IIS tarjoaa oletettavasti melko huonoja vaihtoehtoja. Ei katastrofaalinen, mutta varmasti ole hyvä.
Ennen aloittamista saatat haluta tietää, missä sivustosi on. Onneksi Qualysin hyvät ihmiset tarjoavat SSL Labsille kaikille meille ilmaiseksi. Jos siirryt osoitteeseen https://www.ssllabs.com/ssltest/, näet tarkalleen miten palvelin vastaa HTTPS-pyyntöihin. Voit myös nähdä, miten palvelut käytät säännöllisesti pinota.
Yksi huomautus varovaisuudesta täällä. Ainoastaan siksi, että sivusto ei saa A-luokitus ei tarkoita sitä, että ihmiset, jotka käyttävät niitä, tekevät huonoa työtä. SSL Labs sulkee RC4: n heikoksi salausalgoritmiksi, vaikka sitä vastaan ei ole tunnettuja iskuja. Totta, se on vähemmän kestävää kuin raa'at voimayritykset kuin RSA tai ECDH, mutta se ei ole välttämättä paha. Sivusto voi tarjota RC4-yhteysvaihtoehdon välttämättömyyden yhteensopivuuden tiettyjen selainten kanssa, joten käytä sivustojen rankingissa ohjeita, ei raudanvärisiä turvallisuusilmoituksia tai niiden puutteita.
Olemme peittäneet taustan, nyt päästää kätemme likaan. Windows-palvelimen tarjoamien lisävarusteiden päivittäminen ei välttämättä ole helppoa, mutta se ei todellakaan ole kovaa.
Käynnistä painamalla Windows-näppäin + R saadaksesi "Suorita" -valintaikkunan. Kirjoita "gpedit.msc" ja napsauta "OK" käynnistääksesi ryhmäkäytäntöeditori. Tässä teemme muutoksemme.
Napsauta vasemmalla puolella Tietokoneen kokoonpano, Hallintomallit, Verkko ja sitten SSL-määritysasetukset.
Kaksoisnapsauta oikealla puolella SSL Cipher Suite -määräystä.
Oletusasetuksena on "Ei määritetty" -painike. Napsauta "Käytössä" -näppäintä muokataksesi palvelimen Cipher Suitesia.
SSL Cipher Suites -kenttä täyttää tekstin, kun napsautat painiketta. Jos haluat nähdä, mitä Cipher Suites palvelimesi tarjoaa tällä hetkellä, kopioi teksti SSL Cipher Suites -kenttään ja liitä se Notepadiin. Teksti tulee olemaan yksi pitkä, katkottu merkkijono. Kukin salausvaihtoehto on erotettu pilkulla. Jokaisen vaihtoehdon asettaminen omalle riville tekee listasta helpommin lukea.
Voit mennä läpi listan ja lisätä tai poistaa sydämesi sisältöön yhdellä rajoituksella. luettelo ei saa olla yli 1023 merkkiä. Tämä on erityisen ärsyttävää, koska salausalheissamme on pitkät nimitykset, kuten "TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P384", joten valitset huolella. Suosittelen käyttämään listan, jonka Steve Gibson on koonnut osoitteessa GRC.com: https://www.grc.com/miscfiles/SChannel_Cipher_Suites.txt.
Kun olet kurittanut luettelosi, sinun on muotoiltava se käytettäväksi. Alkuperäisen luettelon tavoin uuden teoksen on oltava yksi yhtenäinen merkkijono, jonka jokainen salas- sa erotetaan pilkulla. Kopioi muotoiltu teksti ja liitä se SSL Cipher Suites -kenttiin ja napsauta OK. Lopuksi, jotta muutos pysyy kiinni, sinun on käynnistettävä uudelleen.
Kun palvelin on käynnissä, käynnistä SSL Labs ja testaa se. Jos kaikki meni hyvin, tulokset antavat sinulle A-luokituksen.
Jos haluat jotain hieman visuaalisempaa, voit asentaa IIS Crypton Nartac-ohjelmaan (https://www.nartac.com/Products/IISCrypto/Default.aspx). Tämän sovelluksen avulla voit tehdä samoja muutoksia kuin yllä olevat vaiheet. Sen avulla voit myös ottaa käyttöön tai poistaa käytöstä salakirjoituksia erilaisten kriteerien perusteella, joten sinun ei tarvitse käydä niitä manuaalisesti.
Siitä riippumatta, miten voit tehdä sen, päivittäminen Cipher Suites on helppo tapa parantaa turvallisuutta sinulle ja loppukäyttäjille.