Você administra um site respeitável no qual seus usuários podem confiar. Certo? Você pode querer verificar isso. Se o site estiver sendo executado no IIS (Serviços de Informações da Internet da Microsoft), talvez você tenha uma surpresa. Quando os usuários tentam se conectar ao seu servidor por meio de uma conexão segura (SSL / TLS), talvez você não esteja fornecendo uma opção segura.
Fornecer um pacote de criptografia melhor é gratuito e fácil de configurar. Basta seguir este guia passo a passo para proteger seus usuários e seu servidor. Você também aprenderá a testar os serviços que usa para ver a segurança deles.
Por que seus conjuntos de codificação são importantes
O IIS da Microsoft é muito bom. É fácil de configurar e manter. Ele tem uma interface gráfica amigável que facilita a configuração. Ele é executado no Windows. O IIS realmente tem muito a ver, mas realmente falha quando se trata de padrões de segurança.
Veja como funciona uma conexão segura. Seu navegador inicia uma conexão segura com um site. Isso é mais facilmente identificado por um URL que começa com "HTTPS: //". O Firefox oferece um pequeno ícone de cadeado para ilustrar melhor o ponto. O Chrome, o Internet Explorer e o Safari têm métodos semelhantes para informar que sua conexão está criptografada. O servidor ao qual você está se conectando responde ao seu navegador com uma lista de opções de criptografia para escolher, da ordem mais preferida a menos. Seu navegador desce a lista até encontrar uma opção de criptografia que goste e estamos funcionando. O resto, como dizem, é matemática. (Ninguém diz isso.)
A falha fatal é que nem todas as opções de criptografia são criadas igualmente. Alguns usam algoritmos de criptografia realmente excelentes (ECDH), outros são menos bons (RSA) e alguns são mal aconselhados (DES). Um navegador pode se conectar a um servidor usando qualquer uma das opções oferecidas pelo servidor. Se o seu site estiver oferecendo algumas opções de ECDH, mas também algumas opções de DES, seu servidor se conectará em ambos. O simples ato de oferecer essas opções ruins de criptografia torna seu site, seu servidor e seus usuários potencialmente vulneráveis. Infelizmente, por padrão, o IIS fornece algumas opções muito ruins. Não é catastrófico, mas definitivamente não é bom.
Como ver onde você está
Antes de começarmos, você pode querer saber onde está seu site. Felizmente o pessoal da Qualys está fornecendo SSL Labs para todos nós gratuitamente. Se você acessar https://www.ssllabs.com/ssltest/, poderá ver exatamente como seu servidor está respondendo a solicitações HTTPS. Você também pode ver como os serviços que você usa se acumulam regularmente.
Uma nota de cautela aqui. O fato de um site não receber uma classificação A não significa que as pessoas que as executam estejam fazendo um trabalho ruim. O SSL Labs vence o RC4 como um algoritmo de criptografia fraco, embora não haja ataques conhecidos contra ele. É verdade que é menos resistente a tentativas de força bruta do que algo como RSA ou ECDH, mas não é necessariamente ruim. Um site pode oferecer uma opção de conexão RC4 por necessidade de compatibilidade com certos navegadores, então use os rankings de sites como uma diretriz, não uma declaração de segurança ou falta dela.
Atualizando seu conjunto de criptografia
Nós cobrimos o plano de fundo, agora vamos sujar as mãos. A atualização do conjunto de opções que o seu servidor Windows oferece não é necessariamente direta, mas definitivamente não é difícil também.
Para começar, pressione a tecla Windows + R para abrir a caixa de diálogo "Executar". Digite “gpedit.msc” e clique em “OK” para iniciar o Editor de Políticas de Grupo. É aqui que faremos nossas alterações.À esquerda, expanda Configuração do Computador, Modelos Administrativos, Rede e clique em Configurações de SSL.À direita, clique duas vezes em SSL Cipher Suite Order.Por padrão, o botão "Não configurado" está selecionado. Clique no botão "Ativado" para editar os conjuntos de codificação do seu servidor.O campo SSL Cipher Suites preencherá o texto quando você clicar no botão. Se você quiser ver quais conjuntos de codificação seu servidor está oferecendo atualmente, copie o texto do campo SSL Cipher Suites e cole-o no bloco de notas. O texto estará em uma string longa e ininterrupta. Cada uma das opções de criptografia é separada por uma vírgula. Colocar cada opção em sua própria linha facilitará a leitura da lista.
Você pode percorrer a lista e adicionar ou remover o conteúdo do seu coração com uma restrição. a lista não pode ter mais de 1.023 caracteres. Isso é especialmente irritante porque os conjuntos de criptografia têm nomes longos como "TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P384", portanto, escolha com cuidado. Eu recomendo usar a lista reunida por Steve Gibson no site GRC.com: https://www.grc.com/miscfiles/SChannel_Cipher_Suites.txt.
Depois de selecionar sua lista, é necessário formatá-la para uso. Como a lista original, a sua nova precisa ser uma sequência ininterrupta de caracteres com cada cifra separada por uma vírgula. Copie o texto formatado e cole-o no campo SSL Cipher Suites e clique em OK. Finalmente, para fazer a mudança, você precisa reiniciar.
Com o servidor de volta a funcionar, vá para o SSL Labs e teste-o. Se tudo correu bem, os resultados devem dar uma classificação A.
Se você gostaria de algo um pouco mais visual, você pode instalar o IIS Crypto pela Nartac (https://www.nartac.com/Products/IISCrypto/Default.aspx). Esta aplicação permitirá que você faça as mesmas alterações que as etapas acima. Ele também permite ativar ou desativar criptografias com base em diversos critérios, para que você não precise passar por eles manualmente.
Não importa como você faz isso, atualizar seus conjuntos de criptografia é uma maneira fácil de melhorar a segurança para você e seus usuários finais.
Suítes de segurança na Internet são um grande negócio. Versões de avaliação repletas de recursos vêm com a maioria dos novos computadores Windows. Eles normalmente incluem poderosos firewalls bidirecionais, filtros de phishing e tecnologia de verificação de cookies. Mas você realmente não precisa de todos esses recursos.
Este artigo mostrará a você como atualizar ou alterar a senha da rede WiFi ou a chave de segurança para uma rede WiFi específica no Windows 10 / 8.1 manualmente ou usando o CMD.
Você quer aprender programação de computadores? A melhor maneira de aprender a codificarC ++, etc, é através desses sites. Aprenda codificação on-line grátis. W3School, CodeAcademy, etc. são os melhores.
A Impecca está oferecendo acessórios biodegradáveis e ecologicamente corretos de bambu 100% feitos à mão. Estes incluem um teclado e um mouse bem projetados.
