Предоставление лучшего набора шифров является бесплатным и довольно простым в настройке. Просто следуйте этому пошаговому руководству, чтобы защитить своих пользователей и ваш сервер. Вы также узнаете, как тестировать службы, которые вы используете, чтобы понять, насколько они безопасны.
Почему ваши шикарные люксы важны
Microsoft IIS очень хорош. Он легко настраивается и поддерживается. У этого есть удобный графический интерфейс, который делает настройку бриз. Он работает в Windows. У IIS действительно много чего для этого, но на самом деле падает, когда дело доходит до дефолтов по умолчанию.
Фатальный недостаток заключается в том, что не все параметры шифрования создаются одинаково. Некоторые используют действительно великолепные алгоритмы шифрования (ECDH), другие менее велики (RSA), а некоторые просто плохо информированы (DES). Браузер может подключаться к серверу с использованием любых параметров, предоставляемых сервером. Если ваш сайт предлагает некоторые варианты ECDH, но также некоторые опции DES, ваш сервер будет подключаться к любому из них. Простой способ предложить эти плохие параметры шифрования делает ваш сайт, ваш сервер и ваших пользователей потенциально уязвимыми. К сожалению, по умолчанию IIS предоставляет некоторые довольно плохие варианты. Не катастрофично, но определенно не хорошо.
Как посмотреть, где вы стоите
Прежде чем начать, вы можете узнать, где находится ваш сайт. К счастью, хорошие люди в Qualys бесплатно предоставляют SSL Labs всем нам. Если вы перейдете на страницу https://www.ssllabs.com/ssltest/, вы можете точно увидеть, как ваш сервер отвечает на запросы HTTPS. Вы также можете увидеть, как часто используются службы, которые вы используете.
Обновление комплекта шифрования
Мы покрыли фон, теперь давайте соберём руки. Обновление набора опций, предоставляемых вашим сервером Windows, не обязательно просто, но это определенно не сложно.
Вы можете пройти через список и добавить или удалить содержимое вашего сердца с одним ограничением; список не может быть более 1023 символов. Это особенно раздражает, потому что у наборов шифров есть длинные имена типа «TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P384», поэтому выбирайте внимательно. Я рекомендую использовать список, составленный Стивом Гибсоном на сайте GRC.com: https://www.grc.com/miscfiles/SChannel_Cipher_Suites.txt.
После того как вы купили свой список, вам нужно отформатировать его для использования. Как и исходный список, ваша новая должна быть одной непрерывной строкой символов с каждым шифром, разделенным запятой. Скопируйте форматированный текст и вставьте его в поле SSL Cipher Suites и нажмите OK. Наконец, чтобы сделать палку изменений, вам нужно перезагрузить компьютер.
Вернувшись и работая с сервером, перейдите в SSL Labs и проверьте его. Если все пойдет хорошо, результаты должны дать вам рейтинг A.
Независимо от того, как вы это делаете, обновление Cipher Suites - это простой способ повысить безопасность для вас и ваших конечных пользователей.