Cara Memperbarui Suite Server Windows Server Anda untuk Keamanan yang Lebih Baik
Anda menjalankan situs web terhormat yang dapat dipercaya oleh pengguna Anda. Kanan? Anda mungkin ingin memeriksa itu. Jika situs Anda berjalan di Microsoft Internet Information Services (IIS), Anda mungkin terkejut. Ketika pengguna Anda mencoba untuk terhubung ke server Anda melalui koneksi aman (SSL / TLS) Anda mungkin tidak memberikan mereka opsi yang aman.
Menyediakan cipher suite yang lebih baik gratis dan cukup mudah diatur. Ikuti saja panduan langkah demi langkah ini untuk melindungi pengguna dan server Anda. Anda juga akan belajar cara menguji layanan yang Anda gunakan untuk melihat seberapa aman mereka sebenarnya.
Mengapa Suites Cipher Anda Penting
IIS Microsoft cukup bagus. Pengaturan dan pemeliharaannya mudah. Ini memiliki antarmuka grafis yang ramah pengguna yang membuat konfigurasi mudah. Ini berjalan pada Windows. IIS benar-benar memiliki banyak hal untuk itu, tetapi benar-benar gagal ketika datang ke default keamanan.
Inilah cara kerja koneksi aman. Browser Anda memulai koneksi aman ke situs. Ini paling mudah diidentifikasi oleh URL yang dimulai dengan "HTTPS: //". Firefox menawarkan ikon kunci kecil untuk mengilustrasikan poin lebih lanjut. Chrome, Internet Explorer, dan Safari semuanya memiliki metode serupa untuk memberi tahu Anda bahwa koneksi Anda dienkripsi. Server yang Anda sambungkan ke balasan ke browser Anda dengan daftar opsi enkripsi untuk dipilih dalam urutan yang paling disukai untuk yang paling sedikit. Browser Anda turun daftar sampai menemukan opsi enkripsi yang disukainya dan kami tidak aktif dan berjalan. Sisanya, seperti kata mereka, adalah matematika. (Tidak ada yang mengatakan itu.)
Kelemahan fatal dalam hal ini adalah tidak semua opsi enkripsi dibuat sama. Beberapa menggunakan algoritma enkripsi yang sangat hebat (ECDH), yang lain kurang bagus (RSA), dan beberapa hanya tidak disarankan (DES). Browser dapat terhubung ke server menggunakan salah satu opsi yang disediakan server. Jika situs Anda menawarkan beberapa opsi ECDH tetapi juga beberapa opsi DES, server Anda akan terhubung. Tindakan sederhana menawarkan opsi enkripsi yang buruk ini membuat situs Anda, server Anda, dan pengguna Anda berpotensi rentan. Sayangnya, secara default, IIS menyediakan beberapa opsi yang sangat buruk. Bukan bencana, tapi jelas tidak bagus.
Cara Melihat Di Mana Anda Berdiri
Sebelum kita mulai, Anda mungkin ingin tahu di mana situs Anda berada. Untungnya, orang-orang baik di Qualys menyediakan Lab SSL untuk kita semua tanpa biaya. Jika Anda membuka https://www.ssllabs.com/ssltest/, Anda dapat melihat dengan tepat bagaimana server Anda merespons permintaan HTTPS. Anda juga dapat melihat bagaimana layanan yang Anda gunakan menumpuk secara teratur.
Satu nada peringatan di sini. Hanya karena sebuah situs tidak menerima peringkat A tidak berarti orang-orang yang menjalankannya melakukan pekerjaan yang buruk. SSL Labs membanting RC4 sebagai algoritma enkripsi yang lemah meskipun tidak ada serangan yang diketahui terhadapnya. Benar, itu kurang tahan terhadap upaya kekerasan daripada sesuatu seperti RSA atau ECDH, tetapi itu tidak selalu buruk. Sebuah situs dapat menawarkan opsi koneksi RC4 karena keperluan untuk kompatibilitas dengan browser tertentu, jadi gunakan peringkat situs sebagai pedoman, bukan deklarasi berbalut besi tentang keamanan atau ketiadaannya..
Memperbarui Cipher Suite Anda
Kami sudah membahas latar belakang, sekarang mari tangan kita kotor. Memperbarui serangkaian opsi yang disediakan server Windows Anda tidak selalu mudah, tetapi juga tidak sulit.
Untuk memulai, tekan Windows Key + R untuk memunculkan kotak dialog "Run". Ketik "gpedit.msc" dan klik "OK" untuk meluncurkan Editor Kebijakan Grup. Di sinilah kami akan melakukan perubahan.
Di sisi kiri, rentangkan Konfigurasi Komputer, Template Administratif, Jaringan, lalu klik Pengaturan Konfigurasi SSL.
Di sisi kanan, klik dua kali pada SSL Cipher Suite Order.
Secara default, tombol "Tidak Dikonfigurasi" dipilih. Klik tombol "Diaktifkan" untuk mengedit Suites Cipher server Anda.
Bidang SSL Cipher Suites akan diisi dengan teks setelah Anda mengklik tombol. Jika Anda ingin melihat Cipher Suites yang ditawarkan server Anda saat ini, salin teks dari bidang SSL Cipher Suites dan rekatkan ke Notepad. Teks akan berada dalam satu string yang panjang dan tidak terputus. Setiap opsi enkripsi dipisahkan oleh koma. Menempatkan setiap opsi pada barisnya sendiri akan membuat daftar lebih mudah dibaca.
Anda dapat membaca daftar dan menambahkan atau menghapus isi hati Anda dengan satu batasan; daftar tidak boleh lebih dari 1.023 karakter. Ini sangat menjengkelkan karena cipher suites memiliki nama panjang seperti "TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P384", jadi pilihlah dengan hati-hati. Saya sarankan menggunakan daftar yang disatukan oleh Steve Gibson di GRC.com: https://www.grc.com/miscfiles/SChannel_Cipher_Suites.txt.
Setelah membuat daftar, Anda harus memformatnya untuk digunakan. Seperti daftar asli, yang baru Anda harus satu string karakter yang tidak terputus dengan setiap sandi dipisahkan oleh koma. Salin teks yang diformat dan tempel ke bidang SSL Cipher Suites dan klik OK. Akhirnya, untuk membuat perubahan tetap, Anda harus reboot.
Dengan server Anda kembali dan berjalan, pergilah ke Lab SSL dan mengujinya. Jika semuanya berjalan dengan baik, hasilnya akan memberi Anda peringkat A.
Jika Anda ingin sesuatu yang sedikit lebih visual, Anda dapat menginstal IIS Crypto oleh Nartac (https://www.nartac.com/Products/IISCrypto/Default.aspx). Aplikasi ini akan memungkinkan Anda untuk membuat perubahan yang sama seperti langkah-langkah di atas. Hal ini juga memungkinkan Anda mengaktifkan atau menonaktifkan sandi berdasarkan berbagai kriteria sehingga Anda tidak harus menjalaninya secara manual.
Tidak peduli bagaimana Anda melakukannya, memperbarui Suites Cipher Anda adalah cara mudah untuk meningkatkan keamanan bagi Anda dan pengguna akhir Anda.