Paremate šifrite komplekti pakkumine on tasuta ja üsna lihtne seadistada. Kasutajate ja serveri kaitsmiseks järgige seda sammhaaval juhendit. Samuti saate teada, kuidas katsetada teenuseid, mida kasutate, et näha, kui turvalised nad tegelikult on.
Miks teie sülearvutid on olulised
Microsofti IIS on üsna hea. See on nii lihtne paigaldada kui ka hooldada. Sellel on kasutajasõbralik graafiline liides, mis muudab seadistamise lihtsaks. See töötab Windowsis. IIS tõesti on sellel väga palju läinud, kuid tõepoolest langeb turvalisuse vaikeväärtuste puhul.
See on surmav viga selles, et mitte kõik krüpteerimisvalikud pole võrdselt loodud. Mõned kasutavad tõeliselt häid krüpteerimisalgoritme (ECDH), teised on vähem tugevad (RSA) ja mõned neist on lihtsalt soovitatud (DES). Brauser võib serveriga ühenduse luua, kasutades mõnda serverist pakutavat võimalust. Kui teie sait pakub mõningaid ECDH-võimalusi, aga ka mõnda DES-valikut, ühendab teie server mõlemad. Nende halbate krüpteerimisvalikute pakkumine lihtsustab teie saidi, serveri ja kasutajate potentsiaalselt haavatavust. Kahjuks pakub IIS päris vähe võimalusi. Mitte katastroofiline, kuid kindlasti mitte hea.
Kuidas näha, kus sa seisad
Enne alustamist võite soovida teada, kus teie sait seisab. Õnneks pakuvad Qualys'e head inimesed teile kõigile tasuta SSL-i laborid. Kui te lähete aadressile https://www.ssllabs.com/ssltest/, näete täpselt, kuidas teie server vastab HTTPS-i päringutele. Samuti saate vaadata, kuidas teenused, mida te kasutate, korrapäraselt kogunevad.
Teie Cipher Suite'i värskendamine
Oleksime taustaga kaetud, nüüd laseme kätes määrduda. Teie Windowsi serveri valikute komplekti värskendamine ei pruugi olla otsene, kuid see kindlasti pole ka raske.
Võite nimekirja läbi minna ja lisada või eemaldada oma südames sisalduva sisu ühe piiranguga; nimekiri ei tohi olla üle 1023 tähemärki. See on eriti tüütu, sest šifri komplektidel on pikad nimed nagu "TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P384", nii et vali hoolikalt. Soovitan kasutada Steve Gibsoni koostatud nimekirja GRC.com-is: https://www.grc.com/miscfiles/SChannel_Cipher_Suites.txt.
Kui olete oma nimekirja kureerinud, peate selle vormistama kasutamiseks. Nagu esialgne loend, peab teie uus olema üks katkematu sümbolite string, mille iga šifr on komaga eraldatud. Kopeerige oma vormindatud tekst ja kleepige see väljale SSL Cipher Suites ja klõpsake OK. Lõpuks, et muuta muudatusi, peate taaskäivitama.
Kui teie server on varundatud ja töötab, pöörduge SSL-i laborite poole ja proovige see läbi. Kui kõik läks hästi, peaksid tulemused andma teile A-hinnangu.
Sõltumata sellest, kuidas te seda teete, on Cipher Suitei värskendamine lihtne teie ja teie lõppkasutajate turvalisuse parandamiseks.
