Как да актуализирате вашия Windows Server Cipher Suite за по-добра сигурност

Стартирате уважаван уебсайт, на който потребителите могат да се доверяват. Така ли е? Може би искате да проверите това. Ако сайтът ви се изпълнява от Microsoft Internet Information Services (IIS), може би ще изненадате. Когато потребителите ви се опитват да се свържат със сървъра ви чрез защитена връзка (SSL / TLS), може да не им предоставите безопасна опция.

Осигуряването на по-добър пакет за шифриране е безплатно и доста лесно за настройка. Просто следвайте тази стъпка по стъпка ръководство за защита на вашите потребители и вашия сървър. Ще научите и как да тествате услугите, които използвате, за да видите колко всъщност са безопасни.

Защо Вашите Cipher Suites са важни

IIS на Microsoft е доста голям. И двете са лесни за настройка и поддръжка. Той има лесен за употреба графичен интерфейс, който прави конфигурирането лесно. Работи с Windows. IIS наистина има много за нея, но наистина се сблъсква с по подразбиране за сигурност.

Ето как работи защитена връзка. Вашият браузър инициира защитена връзка към сайт. Това най-лесно се идентифицира чрез URL адрес, започващ с „HTTPS: //“. Firefox предлага малка икона за заключване, за да илюстрира по-нататък. Chrome, Internet Explorer и Safari имат сходни методи за уведомяване, че връзката ви е шифрована. Сървърът, към който се свързвате, отговаря на браузъра ви със списък с опции за шифроване, от които да избирате по ред на най-предпочитаните до най-малко. Браузърът ви отива надолу по списъка, докато намери опция за шифроване, която харесва, и ние сме изключени и работим. Останалото, както се казва, е математика. (Никой не казва това.)

Фаталният недостатък в това е, че не всички опции за кодиране се създават еднакво. Някои използват наистина големи алгоритми за криптиране (ECDH), други са по-малко добри (RSA), а някои са просто лоши (DES). Браузърът може да се свърже със сървър, използвайки някоя от опциите, които предоставя сървърът. Ако вашият сайт предлага някои опции на ECDH, но също така и някои опции за DES, вашият сървър ще се свърже и с двете. Простият акт на предлагане на тези лоши опции за шифроване прави сайта ви, сървърът и потребителите ви потенциално уязвими. За съжаление по подразбиране IIS предлага някои доста лоши възможности. Не е катастрофално, но определено не е добро.

Как да видите къде стоите

Преди да започнете, може да искате да знаете къде стои вашият сайт. За щастие добрите хора в Qualys предоставят безплатно SSL Labs на всички нас. Ако отидете на https://www.ssllabs.com/ssltest/, можете да видите как точно отговаря сървърът на HTTPS заявките. Можете също така да видите как услугите, които използвате, редовно се натрупват.

Една забележка за внимание тук. Само защото един сайт не получава рейтинг А не означава, че хората, които ги управляват, вършат лоша работа. SSL Labs удря RC4 като слаб алгоритъм за криптиране, въпреки че няма известни атаки срещу него. Вярно е, че той е по-малко устойчив на опитите с груба сила, отколкото нещо като RSA или ECDH, но не е непременно лошо. Сайтът може да предложи опция за свързване с RC4 поради необходимост от съвместимост с някои браузъри, така че използвайте класацията на сайтовете като насока, а не като декларация за сигурност или липса на желязо..

Актуализиране на вашия Cipher Suite

Прегледахме фона, сега нека да си замърсим ръцете. Актуализирането на пакета от опции, които вашият Windows сървър предлага, не е непременно лесно, но определено не е трудно.

За да започнете, натиснете клавиша Windows + R, за да изведете диалоговия прозорец “Run”. Напишете „gpedit.msc“ и щракнете върху „OK“, за да стартирате редактора на групови правила. Тук ще направим промените си.

От лявата страна разгънете Конфигурация на компютъра, Административни шаблони, Мрежа и след това щракнете върху Настройки за конфигурация на SSL.

От дясната страна кликнете два пъти върху поръчката SSL Cipher Suite.

По подразбиране е избран бутонът “Not Configured”. Кликнете върху бутона "Enabled", за да редактирате Cipher Suites на вашия сървър.

Полето SSL Cipher Suites ще се запълни с текст, след като щракнете върху бутона. Ако искате да видите това, което в момента предлага сървърът на Cipher, копирайте текста от полето SSL Cipher Suites и го поставете в Notepad. Текстът ще бъде в един дълъг непрекъснат низ. Всяка от опциите за кодиране е разделена със запетая. Поставянето на всяка опция на свой ред ще направи списъка по-лесен за четене.

Можете да преминете през списъка и да добавите или премахнете в сърцето си съдържание с едно ограничение; списъкът не може да съдържа повече от 1023 знака. Това е особено досадно, защото шифровите пакети имат дълги имена като “TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P384”, затова избират внимателно. Препоръчвам ви да използвате списъка, събран от Стив Гибсън в GRC.com: https://www.grc.com/miscfiles/SChannel_Cipher_Suites.txt.

След като сте изгладили списъка, трябва да го форматирате за използване. Подобно на първоначалния списък, новият ви трябва да бъде един непрекъснат низ от символи, като всеки шифър е разделен със запетая. Копирайте форматирания текст и го поставете в полето SSL Cipher Suites и кликнете върху OK. И накрая, за да направите промяната, трябва да рестартирате.

Когато сървърът се поддържа и работи, преминете към SSL Labs и го изпробвайте. Ако всичко върви добре, резултатите трябва да ви дадат рейтинг А.

Ако искате нещо по-визуално, можете да инсталирате IIS Crypto от Nartac (https://www.nartac.com/Products/IISCrypto/Default.aspx). Това приложение ще ви позволи да направите същите промени като горните стъпки. Той също така ви позволява да активирате или деактивирате шифри въз основа на различни критерии, така че не е нужно да ги преглеждате ръчно.

Без значение как го правите, актуализирането на вашия Cipher Suites е лесен начин за подобряване на сигурността за вас и вашите крайни потребители.