Како ажурирати Виндовс Сервер Ципхер Суите за бољу сигурност
Покренули сте респектабилну веб локацију коју ваши корисници могу вјеровати. Јел тако? Можда бисте желели да то провјерите. Ако се ваш сајт изводи на Мицрософт Интернет Информатион Сервицес (ИИС), можда ћете бити изненађени. Када корисници покушају да се повежу са сервером преко безбедне везе (ССЛ / ТЛС), можда им нећете обезбедити безбедну опцију.
Пружање бољег пакета за шифре је бесплатно и прилично једноставно за подешавање. Само пратите овај водич корак по корак да бисте заштитили своје кориснике и ваш сервер. Такође ћете научити како да тестирате услуге које користите да бисте видели колико су они заиста безбедни.
Зашто су ваши Ципхер Суитес важни
Мицрософтов ИИС је прилично велик. Лако је поставити и одржавати. Поседује графички интерфејс који олакшава конфигурацију. Она ради на Виндовс-у. ИИС заиста има пуно тога за то, али стварно пада када дође до сигурносних поставки.
Ево како ради сигурна веза. Ваш претраживач иницира сигурну везу са сајтом. Ово се најлакше препознаје по УРЛ-у који почиње са “ХТТПС: //”. Фирефок нуди малу икону браве како би илустрирао даље. Цхроме, Интернет Екплорер и Сафари сви имају сличне методе да вас обавесте да је ваша веза шифрована. Послужитељ на који се повезујете одговара вашем прегледнику са листом опција шифровања које можете изабрати по редослиједу који је најпожељнији до најмањег. Ваш претраживач се спушта на листу све док не пронађе опцију шифровања коју воли, а ми радимо. Остало, како кажу, је математика. (Нико то не каже.)
Фатална грешка у томе је што нису све опције шифровања креиране једнако. Неки користе заиста одличне алгоритме шифрирања (ЕЦДХ), други су мање добри (РСА), а неки су само лоши савјетници (ДЕС). Претраживач може да се повеже са сервером користећи било коју од опција које сервер пружа. Ако ваш сајт нуди неке ЕЦДХ опције, али и неке ДЕС опције, ваш сервер ће се повезати на било који. Једноставан чин пружања ових лоших опција шифровања чини ваш сајт, ваш сервер и кориснике потенцијално рањивим. Нажалост, ИИС пружа неке прилично лоше опције. Не катастрофално, али дефинитивно није добро.
Како видјети гдје стојите
Пре него што почнемо, можда ћете желети да знате где стоји ваш сајт. Срећом, добри људи у Куалис-у пружају ССЛ Лабс свима нама бесплатно. Ако одете на хттпс://ввв.ссллабс.цом/сслтест/, можете тачно да видите како ваш сервер реагује на ХТТПС захтеве. Такође можете да видите како се услуге које користите редовно слажу.
Један опрез овдје. Само зато што сајт не добија А рејтинг не значи да људи који их воде раде лош посао. ССЛ Лабс покреће РЦ4 као слаб алгоритам за шифровање, иако нема познатих напада на њега. Истина, то је мање отпорно на покушаје грубе силе него нешто попут РСА или ЕЦДХ, али то није нужно лоше. Сајт може понудити опцију РЦ4 конекције из разлога неопходности компатибилности са одређеним претраживачима, тако да користите рангирање сајтова као смерницу, а не као изјаву о безбедности или недостатку жељеза..
Ажурирање пакета Ципхер Суите
Покрили смо позадину, а сада ћемо се упрљати. Ажурирање пакета опција које пружа Виндовс сервер није нужно једноставан, али дефинитивно није ни тешко.
Да бисте започели, притисните тастер Виндовс + Р да бисте отворили дијалог “Рун”. Откуцајте “гпедит.мсц” и кликните “ОК” да бисте покренули уређивач смерница групе. Овде ћемо направити наше промене.
На левој страни проширите Конфигурација рачунара, Административни предлошци, Мрежа, а затим кликните на Поставке конфигурације ССЛ-а.
Са десне стране, двапут кликните на ССЛ Ципхер Суите Ордер.
Подразумевано је изабрано дугме “Нот Цонфигуред”. Кликните на дугме „Омогућено“ да бисте уредили Ципхер Суитес вашег сервера.
Поље ССЛ Ципхер Суитес ће попунити текст када кликнете на дугме. Ако желите да видите шта Ципхер Суитес ваш сервер тренутно нуди, копирајте текст из поља ССЛ Ципхер Суитес и налепите га у Нотепад. Текст ће бити у једном дугом, непрекинутом низу. Свака од опција за шифровање је одвојена зарезом. Постављање сваке опције на сопствену линију ће учинити листу лакшом за читање.
Можете проћи кроз листу и додати или уклонити садржај вашег срца једним ограничењем; листа не може бити већа од 1.023 знакова. Ово је посебно неугодно јер кодови за шифру имају дуга имена као што су "ТЛС_ЕЦДХЕ_ЕЦДСА_ВИТХ_АЕС_256_ГЦМ_СХА384_П384", зато пажљиво бирајте. Препоручујем да користите листу коју је саставио Стеве Гибсон на адреси ГРЦ.цом: хттпс://ввв.грц.цом/мисцфилес/СЦханнел_Ципхер_Суитес.ткт.
Када сте уредили листу, морате је форматирати за употребу. Као и оригинална листа, ваша нова треба да буде један непрекинути низ знакова са сваком шифром одвојену зарезом. Копирајте форматирани текст и залијепите га у поље ССЛ Ципхер Суитес и кликните на ОК. Коначно, да би направили промену, морате поново покренути систем.
Када се сервер поново покрене и покрене, пређите на ССЛ Лабс и тестирајте га. Ако је све прошло добро, резултати ће вам дати оцјену А.
Ако желите нешто мало визуалније, можете инсталирати ИИС Црипто би Нартац (хттпс://ввв.нартац.цом/Продуцтс/ИИСЦрипто/Дефаулт.аспк). Ова апликација ће вам омогућити да направите исте измене као и горе наведене кораке. Такође вам омогућава да омогућите или онемогућите шифре на основу различитих критеријума, тако да не морате да их пролазите ручно.
Без обзира на то како то радите, ажурирање вашег Ципхер Суитес је једноставан начин за побољшање сигурности за вас и ваше крајње кориснике.