Poskytovanie lepšieho šifrovacieho balíka je bezplatné a veľmi jednoduché nastavenie. Postupujte podľa pokynov krok za krokom, aby ste ochránili svojich používateľov a váš server. Naučíte sa aj o tom, ako otestovať služby, ktoré používate, aby ste videli, aká je ich bezpečnosť.
Prečo sú šifrovacie suity dôležité
Microsoft IIS je skvelý. Je to jednoduché nastavenie a údržba. Má užívateľsky prívetivé grafické rozhranie, ktoré robia konfiguráciu vietorom. Beží na systéme Windows. Služba IIS naozaj veľa veľa veľa, ale skutočne sa zhoršuje, pokiaľ ide o predvolené zabezpečenie.
Zlomová chyba v tomto prípade je, že nie všetky možnosti šifrovania sú vytvorené rovnako. Niektoré používajú naozaj skvelé algoritmy na šifrovanie (ECDH), iné sú skôr skvelé (RSA) a niektoré sú len nepodložené (DES). Prehliadač sa môže pripojiť k serveru pomocou ľubovoľnej možnosti, ktorú poskytuje server. Ak vaše stránky ponúkajú niektoré možnosti ECDH, ale aj niektoré možnosti DES, váš server sa k nim pripojí. Jednoduchý akt ponuky týchto zlých možností šifrovania spôsobuje, že vaše stránky, váš server a používatelia sú potenciálne zraniteľní. Bohužiaľ, služba IIS štandardne poskytuje niektoré dosť slabé možnosti. Nie katastrofické, ale určite nie dobré.
Ako vidieť, kde stojíš
Skôr než začneme, možno budete chcieť vedieť, kde je váš web. Našťastie dobrí ľudia v spoločnosti Qualys poskytujú každému z nás zadarmo služby SSL Labs. Ak prejdete na stránku https://www.ssllabs.com/ssltest/, môžete presne vidieť, ako váš server reaguje na požiadavky HTTPS. Môžete tiež zistiť, ako pravidelne využívajú služby, ktoré sa používajú.
Aktualizácia šifrovacieho balíka
Pokryli sme pozadie, teraz pošpinime ruky. Aktualizácia balíka možností, ktorú poskytuje váš server Windows, nie je nevyhnutne jednoduchý, ale rozhodne nie je ani ťažké.
Môžete prejsť zoznamom a pridať alebo odstrániť do svojho srdca obsah s jedným obmedzením; zoznam nemôže mať viac ako 1023 znakov. To je zvlášť nepríjemné, pretože šifrovacie súpravy majú dlhé mená ako "TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P384", preto si ich dôkladne vyberte. Odporúčam používať zoznam, ktorý vytvoril Steve Gibson, na stránke GRC.com: https://www.grc.com/miscfiles/SChannel_Cipher_Suites.txt.
Akonáhle ste si vytriedili svoj zoznam, musíte ho naformátovať na použitie. Rovnako ako pôvodný zoznam, nový musí byť jeden neprerušovaný reťazec znakov s každou šifrou oddelenou čiarkou. Skopírujte formátovaný text a vložte ho do poľa SSL Cipher Suites a kliknite na tlačidlo OK. A nakoniec, aby ste zmenili, musíte reštartovať.
S vašim serverom zálohujte a spustite službu SSL Labs a vyskúšajte to. Ak všetko prebehlo dobre, mali by ste získať hodnotenie A.
Bez ohľadu na to, ako to urobíte, aktualizácia Cipher Suites je jednoduchý spôsob, ako zlepšiť bezpečnosť pre vás a vašich koncových používateľov.