Як оновити Windows Server Cipher Suite для кращої безпеки

Ви запускаєте респектабельний сайт, якому ваші користувачі можуть довіряти. Чи не так? Ви можете перевірити це двічі. Якщо ваш сайт працює на веб-службі Microsoft Internet Information Services (IIS), ви можете отримати сюрприз. Коли користувачі намагаються підключитися до вашого сервера через захищене з'єднання (SSL / TLS), можливо, ви не надаєте їм безпечного варіанту.

Забезпечення кращого набору шифрів є безкоштовним і досить простим у налаштуванні. Просто дотримуйтесь цього покрокового керівництва, щоб захистити своїх користувачів і ваш сервер. Ви також дізнаєтеся, як тестувати служби, які ви використовуєте, щоб побачити, наскільки вони безпечні.

Чому Ваші шифрові номери є важливими

Microsoft IIS досить великий. Це легко встановити та підтримувати. Він має зручний графічний інтерфейс, що робить конфігурацію легким. Він працює на Windows. IIS дійсно має багато для цього, але дійсно падає, коли йдеться про стандартні налаштування безпеки.

Ось як працює безпечне з'єднання. Ваш браузер ініціює безпечне з'єднання з сайтом. Це найлегше ідентифікувати за URL-адресою, що починається з “HTTPS: //”. Firefox пропонує маленьку піктограму замка, щоб проілюструвати цей момент далі. Chrome, Internet Explorer і Safari мають аналогічні методи, які дозволяють вам знати, що ваше з'єднання шифровано. Сервер, з яким ви підключаєтеся, відповідає вашому веб-переглядачу зі списком варіантів шифрування, на вибір якого вибирається найпопулярніший, ніж найменш. Ваш веб-переглядач переходить до списку, поки не знайде потрібний параметр шифрування, і ми вимкнено та запущено. Решта, як кажуть, це математика. (Ніхто це не каже.)

Фатальна помилка в цьому полягає в тому, що не всі опції шифрування створюються однаково. Деякі з них використовують дійсно чудові алгоритми шифрування (ECDH), інші - менш великі (RSA), а деякі з них просто не рекомендуються (DES). Браузер може підключатися до сервера за допомогою будь-яких параметрів, які надає сервер. Якщо на вашому сайті є декілька варіантів ECDH, а також деякі параметри DES, ваш сервер буде підключено. Простий спосіб запропонувати ці погані опції шифрування робить ваш сайт, ваш сервер і ваші користувачі потенційно вразливими. На жаль, за замовчуванням IIS надає досить погані параметри. Не катастрофічний, але точно не гарний.

Як побачити, де ви стоїте

Перш ніж почати, ви можете знати, де знаходиться ваш сайт. На щастя, хороші люди в Qualys надають SSL Labs всім нам безкоштовно. Якщо ви звернетеся до https://www.ssllabs.com/ssltest/, ви можете побачити, як саме ваш сервер реагує на запити HTTPS. Ви також можете побачити, як регулярно складаються служби, якими ви користуєтеся.

Одне застереження тут. Тільки тому, що сайт не отримує рейтинг A не означає, що люди, що керують ними, роблять погану роботу. SSL Labs відбиває RC4 як слабкий алгоритм шифрування, хоча на нього немає відомих атак. Правда, він менш стійкий до спроб грубої сили, ніж щось подібне до RSA або ECDH, але це не обов'язково погано. Сайт може надавати можливість підключення RC4 через необхідність сумісності з певними браузерами, тому використовуйте рейтинги сайтів як орієнтир, а не залізну декларацію безпеки або її відсутність.

Оновлення набору шифрів

Ми висвітлили фон, тепер давайте забруднимо наші руки. Оновлення набору варіантів, які надає ваш сервер Windows, не обов'язково є простим, але це також не важко.

Для початку натисніть клавішу Windows + R, щоб відкрити діалогове вікно «Виконати». Введіть "gpedit.msc" і натисніть "OK", щоб запустити редактор групової політики. Тут ми зробимо наші зміни.

У лівій частині розгорніть пункт Конфігурація комп'ютера, Адміністративні шаблони, Мережа, а потім клацніть Параметри конфігурації SSL.

Праворуч двічі клацніть по замовленню SSL Cipher Suite.

За замовчуванням вибрано кнопку "Not Configured". Натисніть кнопку "Включено" для редагування Cipher Suites вашого сервера.

Поле SSL Cipher Suites буде заповнено текстом після натискання кнопки. Якщо ви хочете побачити, що Cipher Suites ваш сервер пропонує, скопіюйте текст з поля SSL Cipher Suites і вставте його в блокнот. Текст буде складений в одну довгу, безперервну рядок. Кожен з варіантів шифрування відокремлюється комою. Введення кожного параметра у свій рядок полегшить читання списку.

Ви можете пройти через список і додати або видалити вміст вашого серця одним обмеженням; у списку не може бути більше 1023 символів. Це особливо дратує, оскільки пакунки шифру мають довгі імена, такі як "TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P384", тому обережно вибирайте. Я рекомендую використовувати список, створений Стівом Гібсоном на сайті GRC.com: https://www.grc.com/miscfiles/SChannel_Cipher_Suites.txt.

Після того як ви припинили свій список, ви повинні відформатувати його для використання. Як і оригінальний список, у вашій новій має бути один безперервний рядок символів, кожен шифр розділений комою. Скопіюйте відформатований текст і вставте його в поле SSL Cipher Suites і натисніть OK. Нарешті, щоб внести зміни до палиці, потрібно перезавантажити.

З сервером резервного копіювання і роботи, над головою до SSL Labs і перевірити його. Якщо все пройшло добре, результати повинні дати вам рейтинг A.

Якщо ви хочете щось більш наочне, ви можете встановити IIS Crypto від Nartac (https://www.nartac.com/Products/IISCrypto/Default.aspx). Ця програма дозволить вам внести ті ж зміни, що й вище. Вона також дозволяє вмикати або вимикати шифри на основі різних критеріїв, тому вам не доведеться проходити через них вручну.

Незалежно від того, як ви це робите, оновлення вашого Cipher Suites - це простий спосіб поліпшити безпеку для вас і ваших кінцевих користувачів.