Осигуряването на по-добър шифроващ пакет е безплатен и доста лесен за настройка. Просто следвайте тази стъпка по стъпка, за да защитите потребителите и сървъра си. Също така ще научите как да тествате услугите, които използвате, за да видите колко са безопасни те наистина.
Защо Вашият шифър апартаменти са важни
IIS на Microsoft е доста страхотно. И двете са лесни за настройка и поддръжка. Той има лесен за работа графичен интерфейс, който прави конфигурацията бриз. Той работи на Windows. ИСУ наистина има много неща за това, но наистина се срива, когато става въпрос за просрочия на сигурността.
Фаталният недостатък в това е, че не всички опции за криптиране се създават еднакво. Някои използват наистина големи алгоритми за кодиране (ECDH), други са по-малко страхотни (RSA), а някои са просто зле препоръчани (DES). Браузърът може да се свърже със сървър, като използва някоя от опциите, които сървърът предоставя. Ако сайтът Ви предлага някои опции за ECDH, но също и някои опции за DES, сървърът ви ще се свърже и в двете. Простият акт на предлагане на тези лоши опции за шифроване прави вашия сайт, вашият сървър и вашите потребители потенциално уязвими. За съжаление по подразбиране IIS предоставя някои доста лоши възможности. Не е катастрофално, но определено не е добро.
Как да видите къде стоите
Преди да започнете, може да искате да знаете къде се намира сайтът Ви. За щастие добрите хора в Qualys предоставят безплатно на всички ни SSL Labs. Ако отидете на https://www.ssllabs.com/ssltest/, можете да видите точно как сървърът ви отговаря на заявки за HTTPS. Можете също да видите как редовно се използват услугите, които използвате.
Актуализиране на вашия шифровъчен пакет
Покрихме фонта, сега нека да си мръсни ръцете. Актуализирането на пакета от опции, които ви предоставя сървърът на Windows, не е непременно ясен, но определено не е трудно.
Можете да преминете през списъка и да добавите или премахнете към съдържанието на сърцето си с едно ограничение; списъкът не може да бъде повече от 1023 знака. Това е особено досадно, защото шифровите пакети имат дълги имена като "TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P384", затова внимателно изберете. Препоръчвам да използвате списъка, съставен от Стив Гибсън, на адрес GRC.com: https://www.grc.com/miscfiles/SChannel_Cipher_Suites.txt.
След като прецените списъка си, трябва да го форматирате, за да го използвате. Подобно на оригиналния списък, вашият нов трябва да бъде един непрекъснат низ от знаци с всеки шифър, разделен със запетая. Копирайте форматирания си текст и го поставете в полето SSL Cipher Suites и кликнете върху OK. И накрая, за да направите промяната, трябва да рестартирате.
Когато сървърът ви се върне обратно в действие, преминете към SSL Labs и го изпробвайте. Ако всичко върви добре, резултатите трябва да ви дадат рейтинг A.
Без значение как го правите, актуализирането на Cipher Suites е лесен начин за подобряване на сигурността за вас и вашите крайни потребители.