Come aggiornare la Cipher Suite di Windows Server per una maggiore sicurezza
Gestisci un sito web di tutto rispetto di cui i tuoi utenti possono fidarsi. Destra? Potresti voler ricontrollare questo. Se il tuo sito è in esecuzione su Microsoft Internet Information Services (IIS), potresti essere sorpreso. Quando i tuoi utenti tentano di connettersi al tuo server tramite una connessione protetta (SSL / TLS), potresti non fornire loro un'opzione sicura.
Fornire una suite di crittografia migliore è gratuita e abbastanza facile da configurare. Segui questa guida passo passo per proteggere i tuoi utenti e il tuo server. Imparerai anche come testare i servizi che usi per vedere quanto sono sicuri.
Perché le tue suite di crittografia sono importanti
IIS di Microsoft è piuttosto grande. È facile da configurare e gestire. Ha un'interfaccia grafica intuitiva che semplifica la configurazione. Funziona su Windows. IIS ha davvero molto da fare, ma in realtà crolla quando si tratta di default di sicurezza.
Ecco come funziona una connessione sicura. Il tuo browser avvia una connessione sicura a un sito. Questo è più facilmente identificato da un URL che inizia con "HTTPS: //". Firefox offre una piccola icona di blocco per illustrare ulteriormente il punto. Chrome, Internet Explorer e Safari hanno tutti metodi simili per farti sapere che la tua connessione è crittografata. Il server al quale ti stai connettendo per rispondere al tuo browser con un elenco di opzioni di crittografia tra cui scegliere in ordine di preferenza o meno. Il tuo browser scende nell'elenco finché non trova un'opzione di crittografia che gli piace e siamo fuori servizio. Il resto, come si suol dire, è matematica. (Nessuno lo dice).
Il difetto fatale in questo è che non tutte le opzioni di crittografia vengono create ugualmente. Alcuni usano algoritmi di crittografia veramente eccellenti (ECDH), altri sono meno grandi (RSA), e alcuni sono poco raccomandati (DES). Un browser può connettersi a un server utilizzando una delle opzioni fornite dal server. Se il tuo sito offre alcune opzioni ECDH ma anche alcune opzioni DES, il tuo server si connetterà a entrambi. Il semplice atto di offrire queste cattive opzioni di crittografia rende potenzialmente vulnerabili il tuo sito, il tuo server e i tuoi utenti. Sfortunatamente, per impostazione predefinita, IIS offre alcune opzioni piuttosto scadenti. Non catastrofico, ma sicuramente non buono.
Come vedere dove ti trovi
Prima di iniziare, potresti voler sapere dove si trova il tuo sito. Per fortuna i bravi ragazzi di Qualys stanno fornendo SSL Labs a tutti noi gratuitamente. Se vai su https://www.ssllabs.com/ssltest/, puoi vedere esattamente come il tuo server risponde alle richieste HTTPS. Puoi anche vedere come si accumulano regolarmente i servizi che usi.
Una nota di cautela qui. Solo perché un sito non riceve una valutazione A non significa che le persone che le gestiscono stiano facendo un brutto lavoro. SSL Labs sballa RC4 come un algoritmo di crittografia debole anche se non ci sono attacchi noti contro di esso. È vero, è meno resistente ai tentativi di forza bruta rispetto a qualcosa come RSA o ECDH, ma non è necessariamente negativo. Un sito può offrire un'opzione di connessione RC4 per necessità di compatibilità con determinati browser, quindi utilizzare le classifiche dei siti come linee guida, non una dichiarazione di sicurezza rivestita di ferro o la mancanza di ciò.
Aggiornamento della Cipher Suite
Abbiamo coperto lo sfondo, ora ci sporchiamo le mani. Aggiornare la suite di opzioni fornite dal server Windows non è necessariamente semplice, ma non è nemmeno difficile.
Per iniziare, premi il tasto Windows + R per visualizzare la finestra di dialogo "Esegui". Digitare "gpedit.msc" e fare clic su "OK" per avviare l'Editor criteri di gruppo. Qui è dove faremo i nostri cambiamenti.
Sul lato sinistro, espandere Configurazione computer, Modelli amministrativi, Rete, quindi fare clic su Impostazioni di configurazione SSL.
Sul lato destro, fai doppio clic su SSL Cipher Suite Order.
Per impostazione predefinita, il pulsante "Non configurato" è selezionato. Fare clic sul pulsante "Abilitato" per modificare le Cipher Suite del server.
Il campo SSL Cipher Suites si riempie di testo quando fai clic sul pulsante. Se vuoi vedere che Cipher Suites sta offrendo il tuo server, copia il testo dal campo SSL Cipher Suites e incollalo nel Blocco note. Il testo sarà in una stringa lunga e ininterrotta. Ciascuna delle opzioni di crittografia è separata da una virgola. Mettendo ogni opzione sulla propria linea si renderà la lista più facile da leggere.
Puoi scorrere l'elenco e aggiungere o rimuovere il contenuto del tuo cuore con una restrizione; l'elenco non può contenere più di 1.023 caratteri. Questo è particolarmente fastidioso perché le suite di crittografia hanno nomi lunghi come "TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P384", quindi scegli attentamente. Consiglio di utilizzare l'elenco creato da Steve Gibson su GRC.com: https://www.grc.com/miscfiles/SChannel_Cipher_Suites.txt.
Una volta che hai curato la tua lista, devi formattarla per l'uso. Come l'elenco originale, il tuo nuovo deve essere una stringa di caratteri ininterrotta con ogni cifra separata da una virgola. Copia il testo formattato e incollalo nel campo SSL Cipher Suites e fai clic su OK. Infine, per fare il cambio di bastone, è necessario riavviare.
Con il tuo server di nuovo attivo e funzionante, vai su SSL Labs e testalo. Se tutto è andato bene, i risultati dovrebbero darti una valutazione A.
Se desideri qualcosa di un po 'più visivo, puoi installare IIS Crypto di Nartac (https://www.nartac.com/Products/IISCrypto/Default.aspx). Questa applicazione ti consentirà di apportare le stesse modifiche dei passaggi precedenti. Permette anche di abilitare o disabilitare i cipher in base a una serie di criteri in modo da non doverli passare manualmente.
Indipendentemente da come lo fai, aggiornare Cipher Suites è un modo semplice per migliorare la sicurezza per te e per i tuoi utenti finali.