Как обновить Windows Server Cipher Suite для повышения безопасности

Вы управляете респектабельным сайтом, которому могут доверять ваши пользователи. Правильно? Вы можете проверить это дважды. Если ваш сайт работает на Microsoft Internet Information Services (IIS), вас может удивить. Когда ваши пользователи пытаются подключиться к вашему серверу через безопасное соединение (SSL / TLS), вы можете не предоставлять им безопасный вариант.

Предоставление лучшего набора шифров является бесплатным и довольно простым в настройке. Просто следуйте этому пошаговому руководству, чтобы защитить своих пользователей и свой сервер. Вы также узнаете, как тестировать используемые вами сервисы, чтобы увидеть, насколько они безопасны на самом деле..

Почему важны ваши наборы шифров

IIS от Microsoft довольно хорош. Это легко установить и поддерживать. Он имеет удобный графический интерфейс, который делает настройку проще простого. Работает на Windows. IIS действительно многое делает для этого, но на самом деле терпит неудачу, когда речь идет о настройках безопасности по умолчанию.

Вот как работает безопасное соединение. Ваш браузер инициирует безопасное соединение с сайтом. Это легче всего определить по URL-адресу, начинающемуся с «HTTPS: //». Firefox предлагает маленькую иконку замка, чтобы проиллюстрировать эту мысль дальше. Chrome, Internet Explorer и Safari имеют одинаковые способы сообщить вам, что ваше соединение зашифровано. Сервер, к которому вы подключаетесь, отвечает в вашем браузере со списком параметров шифрования, выбираемых в порядке от наиболее предпочтительного до минимального. Ваш браузер перемещается по списку, пока не найдет понравившуюся опцию шифрования, и мы выключены. Остальное, как говорится, математика. (Никто не говорит это.)

Фатальный недостаток в том, что не все параметры шифрования созданы одинаково. Некоторые используют действительно отличные алгоритмы шифрования (ECDH), другие менее эффективны (RSA), а некоторые просто не рекомендуется (DES). Браузер может подключаться к серверу, используя любые опции, которые предоставляет сервер. Если ваш сайт предлагает некоторые опции ECDH, но также некоторые опции DES, ваш сервер подключится либо. Простое предложение этих плохих вариантов шифрования делает ваш сайт, ваш сервер и ваших пользователей потенциально уязвимыми. К сожалению, по умолчанию IIS предоставляет довольно плохие опции. Не катастрофично, но определенно не хорошо.

Как увидеть, где вы стоите

Прежде чем мы начнем, вы можете узнать, где находится ваш сайт. К счастью, добрые люди из Qualys предоставляют всем нам бесплатную лабораторию SSL. Если вы зайдете на https://www.ssllabs.com/ssltest/, вы сможете точно увидеть, как ваш сервер отвечает на запросы HTTPS. Вы также можете увидеть, как сервисы, которые вы регулярно используете, складываются.

Одно предупреждение здесь. Тот факт, что сайт не получает рейтинг «А», не означает, что люди, управляющие ими, делают плохую работу. SSL Labs считает RC4 слабым алгоритмом шифрования, несмотря на то, что на него не было известно никаких атак. Правда, он менее устойчив к попыткам грубой силы, чем что-то вроде RSA или ECDH, но это не обязательно плохо. Сайт может предлагать вариант подключения RC4 из-за необходимости совместимости с определенными браузерами, поэтому используйте ранжирование сайтов в качестве ориентира, а не железную декларацию безопасности или ее отсутствие.

Обновление вашего набора шифров

Мы покрыли фон, теперь давайте запачкаем руки. Обновление набора параметров, предоставляемых вашим сервером Windows, не обязательно является простым, но это также не сложно.

Чтобы начать, нажмите Windows Key + R, чтобы вызвать диалоговое окно «Выполнить». Введите «gpedit.msc» и нажмите «ОК», чтобы запустить редактор групповой политики. Здесь мы внесем наши изменения.

В левой части разверните узел Конфигурация компьютера, Административные шаблоны, Сеть, а затем щелкните Параметры конфигурации SSL..

На правой стороне, дважды щелкните по SSL Cipher Suite Order.

По умолчанию выбрана кнопка «Не настроен». Нажмите кнопку «Включено», чтобы редактировать наборы шифров вашего сервера..

Поле SSL Cipher Suites заполнится текстом, как только вы нажмете кнопку. Если вы хотите узнать, что Cipher Suites предлагает ваш сервер, скопируйте текст из поля SSL Cipher Suites и вставьте его в Блокнот. Текст будет в одной длинной непрерывной строке. Каждый из параметров шифрования отделяется запятой. Размещение каждой опции в отдельной строке сделает список более удобным для чтения.

Вы можете просмотреть список и добавить или удалить в свое удовольствие содержимое с одним ограничением; список не может быть длиннее 1023 символов. Это особенно раздражает, потому что комплекты шифров имеют длинные имена, такие как «TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P384», поэтому выбирайте осторожно. Я рекомендую использовать список, составленный Стивом Гибсоном на GRC.com: https://www.grc.com/miscfiles/SChannel_Cipher_Suites.txt.

Как только вы курируете свой список, вы должны отформатировать его для использования. Как и в оригинальном списке, ваш новый должен быть одной непрерывной строкой символов, каждый шифр которой разделен запятой. Скопируйте форматированный текст и вставьте его в поле «Набор шифров SSL» и нажмите «ОК». Наконец, чтобы сделать изменение палкой, вам нужно перезагрузиться.

После того, как ваш сервер восстановлен и работает, зайдите в SSL Labs и протестируйте его. Если все прошло хорошо, результаты должны дать вам оценку А..

Если вам нужно что-то более наглядное, вы можете установить IIS Crypto от Nartac (https://www.nartac.com/Products/IISCrypto/Default.aspx). Это приложение позволит вам внести те же изменения, что и шаги, описанные выше. Это также позволяет вам включать или отключать шифры на основе различных критериев, чтобы вам не приходилось просматривать их вручную.

Независимо от того, как вы это делаете, обновление вашего Cipher Suites - это простой способ повысить безопасность для вас и ваших конечных пользователей..