วิธีอัปเดต Windows Server Cipher Suite ของคุณเพื่อความปลอดภัยที่ดีขึ้น
คุณเรียกใช้เว็บไซต์ที่น่านับถือที่ผู้ใช้ของคุณสามารถเชื่อถือได้ ขวา? คุณอาจต้องการตรวจสอบอีกครั้งว่า หากไซต์ของคุณทำงานบน Microsoft Internet Information Services (IIS) คุณอาจแปลกใจ เมื่อผู้ใช้ของคุณพยายามเชื่อมต่อกับเซิร์ฟเวอร์ของคุณผ่านการเชื่อมต่อที่ปลอดภัย (SSL / TLS) คุณอาจไม่ได้ให้ตัวเลือกที่ปลอดภัยแก่พวกเขา.
การให้ชุดรหัสลับที่ดีกว่านั้นฟรีและง่ายต่อการติดตั้ง เพียงทำตามคำแนะนำทีละขั้นตอนเพื่อปกป้องผู้ใช้และเซิร์ฟเวอร์ของคุณ นอกจากนี้คุณยังจะได้เรียนรู้วิธีทดสอบบริการที่คุณใช้เพื่อดูว่าพวกเขาปลอดภัยแค่ไหน.
เหตุใดชุดรหัสของคุณจึงสำคัญ
IIS ของ Microsoft นั้นยอดเยี่ยมมาก ทั้งง่ายต่อการติดตั้งและบำรุงรักษา มีส่วนต่อประสานกราฟิกกับผู้ใช้ที่ทำให้การกำหนดค่าเป็นเรื่องง่าย มันทำงานบน Windows IIS มีจำนวนมากเกิดขึ้นจริง ๆ แต่มันจะไม่ราบรื่นเมื่อพูดถึงเรื่องความปลอดภัย.
นี่คือวิธีการเชื่อมต่อที่ปลอดภัย เบราว์เซอร์ของคุณเริ่มต้นการเชื่อมต่อที่ปลอดภัยไปยังไซต์ สิ่งนี้ถูกระบุได้ง่ายที่สุดโดย URL ที่ขึ้นต้นด้วย“ HTTPS: //” Firefox เสนอไอคอนล็อคเพียงเล็กน้อยเพื่อแสดงให้เห็นถึงจุดต่อไป Chrome, Internet Explorer และ Safari ล้วนมีวิธีการที่คล้ายคลึงกันในการแจ้งให้คุณทราบว่าการเชื่อมต่อของคุณได้รับการเข้ารหัส เซิร์ฟเวอร์ที่คุณกำลังเชื่อมต่อกับการตอบกลับไปยังเบราว์เซอร์ของคุณพร้อมรายการตัวเลือกการเข้ารหัสเพื่อเลือกตามลำดับที่ต้องการมากที่สุดถึงน้อยที่สุด เบราว์เซอร์ของคุณลงรายการจนกว่าจะพบตัวเลือกการเข้ารหัสที่ชอบและเราปิดและใช้งาน ที่เหลือก็คือคณิตศาสตร์ (ไม่มีใครพูดแบบนั้น)
ข้อบกพร่องที่ร้ายแรงในครั้งนี้คือตัวเลือกการเข้ารหัสไม่ได้ถูกสร้างขึ้นอย่างเท่าเทียมกัน บางคนใช้อัลกอริธึมการเข้ารหัสที่ยอดเยี่ยมจริง ๆ (ECDH) บางอันใช้น้อยมาก (RSA) และบางอันก็ไม่สมควร (DES) เบราว์เซอร์สามารถเชื่อมต่อกับเซิร์ฟเวอร์โดยใช้ตัวเลือกใด ๆ ที่เซิร์ฟเวอร์จัดให้ หากไซต์ของคุณมีตัวเลือก ECDH แต่ยังมีตัวเลือก DES บางตัวเซิร์ฟเวอร์ของคุณจะเชื่อมต่อด้วย การเสนอตัวเลือกการเข้ารหัสที่ไม่ดีเหล่านี้ทำให้เว็บไซต์ของคุณเซิร์ฟเวอร์ของคุณและผู้ใช้ของคุณมีความเสี่ยง โดยค่าเริ่มต้น IIS มีตัวเลือกที่ไม่ดีพอ ไม่ใช่ความหายนะ แต่ก็ไม่ดีอย่างแน่นอน.
วิธีดูว่าคุณอยู่ที่ไหน
ก่อนที่เราจะเริ่มต้นคุณอาจต้องการทราบว่าเว็บไซต์ของคุณอยู่ตรงไหน โชคดีที่ผู้คนที่ Qualys ให้บริการ SSL Labs แก่พวกเราทุกคนฟรี หากคุณไปที่ https://www.ssllabs.com/ssltest/ คุณสามารถดูได้ว่าเซิร์ฟเวอร์ของคุณตอบสนองการร้องขอ HTTPS อย่างไร นอกจากนี้คุณยังสามารถดูว่าบริการต่างๆที่คุณใช้เป็นประจำนั้นซ้อนกันอย่างไร.
ข้อควรระวังหนึ่งประการที่นี่ เพียงเพราะเว็บไซต์ไม่ได้รับการให้คะแนนไม่ได้หมายความว่าคนที่ใช้งานพวกเขากำลังทำงานไม่ดี SSL Labs ทุบ RC4 เป็นอัลกอริทึมการเข้ารหัสที่อ่อนแอแม้ว่าจะไม่มีการโจมตีที่รู้จัก จริงมันทนต่อแรงเดรัจฉานน้อยกว่าบางอย่างเช่น RSA หรือ ECDH แต่ก็ไม่เลว ไซต์อาจเสนอตัวเลือกการเชื่อมต่อ RC4 โดยไม่จำเป็นสำหรับความเข้ากันได้กับเบราว์เซอร์บางตัวดังนั้นให้ใช้การจัดอันดับเว็บไซต์เป็นแนวทางไม่ใช่การประกาศความปลอดภัยหรือการขาดความปลอดภัย.
การอัปเดตชุดรหัสของคุณ
เราได้ครอบคลุมพื้นหลังตอนนี้ให้มือของเราสกปรก การอัปเดตชุดตัวเลือกเซิร์ฟเวอร์ Windows ของคุณไม่จำเป็นต้องตรงไปตรงมา แต่ก็ไม่ยากเช่นกัน.
ในการเริ่มต้นให้กด Windows Key + R เพื่อเปิดกล่องโต้ตอบ“ Run” พิมพ์“ gpedit.msc” แล้วคลิก“ ตกลง” เพื่อเปิดตัวแก้ไขนโยบายกลุ่ม ที่นี่เราจะทำการเปลี่ยนแปลงของเรา.
ทางด้านซ้ายให้ขยายการกำหนดค่าคอมพิวเตอร์เทมเพลตการดูแลเครือข่ายแล้วคลิกการตั้งค่าการกำหนดค่า SSL.
ทางด้านขวาให้ดับเบิลคลิกที่คำสั่งชุดรหัส SSL.
ตามค่าเริ่มต้นปุ่ม“ ไม่ได้กำหนดค่า” จะถูกเลือก คลิกที่ปุ่ม "เปิดใช้งาน" เพื่อแก้ไข Cipher Suites ของเซิร์ฟเวอร์ของคุณ.
ฟิลด์ SSL Cipher Suites จะเติมข้อความเมื่อคุณคลิกปุ่ม หากคุณต้องการดูว่า Cipher Suites ของคุณกำลังให้บริการอะไรให้คัดลอกข้อความจากช่อง SSL Cipher Suites และวางลงใน Notepad ข้อความจะมีความยาวหนึ่งสตริงที่ไม่ขาด ตัวเลือกการเข้ารหัสแต่ละรายการจะถูกคั่นด้วยเครื่องหมายจุลภาค การวางตัวเลือกแต่ละรายการในบรรทัดของตัวเองจะทำให้รายการอ่านง่ายขึ้น.
คุณสามารถผ่านรายการและเพิ่มหรือลบเนื้อหาของหัวใจของคุณด้วยข้อ จำกัด เดียว; รายการต้องไม่เกิน 1,023 ตัวอักษร สิ่งนี้น่ารำคาญเป็นพิเศษเพราะชุดรหัสมีชื่อยาวเช่น“ TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P384” ดังนั้นควรเลือกอย่างระมัดระวัง ฉันแนะนำให้ใช้รายการที่ Steve Gibson รวบรวมมาที่ GRC.com: https://www.grc.com/miscfiles/SChannel_Cipher_Suites.txt.
เมื่อคุณดูแลรายการของคุณคุณต้องจัดรูปแบบเพื่อใช้งาน เช่นเดียวกับรายการต้นฉบับรายการใหม่ของคุณจะต้องเป็นอักขระที่ไม่ขาดสายหนึ่งสตริงโดยแต่ละศูนย์คั่นด้วยเครื่องหมายจุลภาค คัดลอกข้อความที่จัดรูปแบบของคุณและวางลงในช่อง SSL Cipher Suites และคลิกตกลง ในที่สุดเพื่อให้การเปลี่ยนแปลงติดคุณต้องรีบูต.
เมื่อเซิร์ฟเวอร์ของคุณสำรองข้อมูลและทำงานอยู่ตรงไปที่ SSL Labs และทดสอบ หากทุกอย่างเป็นไปด้วยดีผลลัพธ์ควรให้คะแนน A.
หากคุณต้องการภาพที่ชัดเจนยิ่งขึ้นคุณสามารถติดตั้ง IIS Crypto โดย Nartac (https://www.nartac.com/Products/IISCrypto/Default.aspx) แอปพลิเคชันนี้จะช่วยให้คุณทำการเปลี่ยนแปลงเช่นเดียวกับขั้นตอนข้างต้น นอกจากนี้ยังช่วยให้คุณเปิดใช้งานหรือปิดการใช้งาน ciphers ตามเกณฑ์ที่หลากหลายดังนั้นคุณไม่จำเป็นต้องดำเนินการด้วยตนเอง.
ไม่ว่าคุณจะทำอะไรการอัปเดต Cipher Suites เป็นวิธีที่ง่ายในการปรับปรุงความปลอดภัยให้กับคุณและผู้ใช้ปลายทางของคุณ.