Anda menjalankan situs web terhormat yang dapat dipercaya oleh pengguna Anda. Kanan? Anda mungkin ingin memeriksa kembali itu. Jika situs Anda berjalan di Microsoft Internet Information Services (IIS), Anda mungkin akan terkejut. Ketika pengguna Anda mencoba untuk terhubung ke server Anda melalui koneksi aman (SSL / TLS), Anda mungkin tidak memberikan opsi yang aman kepada mereka.
Menyediakan cipher suite yang lebih baik adalah gratis dan cukup mudah untuk diatur. Cukup ikuti panduan langkah demi langkah ini untuk melindungi pengguna dan server Anda. Anda juga akan belajar cara menguji layanan yang Anda gunakan untuk melihat seberapa aman mereka sebenarnya.
IIS Microsoft cukup hebat. Ini mudah disiapkan dan dikelola. Ini memiliki antarmuka grafis ramah pengguna yang membuat konfigurasi mudah. Ini berjalan di Windows. IIS benar-benar memiliki banyak hal untuk itu, tetapi benar-benar jatuh ketika datang ke default keamanan.
Begini cara kerja sambungan aman. Browser Anda memulai koneksi aman ke situs. Ini paling mudah diidentifikasi oleh URL yang dimulai dengan "HTTPS: //". Firefox menawarkan ikon kunci kecil untuk mengilustrasikan poin lebih jauh. Chrome, Internet Explorer, dan Safari semuanya memiliki metode serupa untuk memberi tahu Anda bahwa koneksi Anda dienkripsi. Server yang Anda hubungkan untuk membalas ke browser Anda dengan daftar opsi enkripsi untuk dipilih berdasarkan urutan yang paling disukai hingga yang paling sedikit. Browser Anda turun daftar sampai menemukan opsi enkripsi suka dan kami sedang berjalan. Sisanya, seperti kata mereka, adalah matematika. (Tidak ada yang mengatakan itu.)
Kelemahan fatal dalam hal ini adalah tidak semua opsi enkripsi dibuat sama. Beberapa menggunakan algoritma enkripsi yang sangat bagus (ECDH), yang lain kurang bagus (RSA), dan beberapa hanya tidak disarankan (DES). Browser dapat terhubung ke server menggunakan salah satu opsi yang disediakan server. Jika situs Anda menawarkan beberapa opsi ECDH tetapi juga beberapa opsi DES, server Anda akan terhubung juga. Tindakan sederhana untuk menawarkan opsi enkripsi yang buruk ini membuat situs Anda, server Anda, dan pengguna Anda berpotensi rentan. Sayangnya, secara default, IIS menyediakan beberapa opsi yang sangat buruk. Tidak malapetaka, tapi jelas tidak bagus.
Sebelum memulai, Anda mungkin ingin tahu di mana situs Anda berdiri. Untungnya orang-orang baik di Qualys menyediakan Lab SSL untuk kita semua secara gratis. Jika Anda membuka https://www.ssllabs.com/ssltest/, Anda dapat melihat dengan tepat bagaimana server Anda merespons permintaan HTTPS. Anda juga dapat melihat bagaimana layanan yang Anda gunakan secara teratur menumpuk.
Satu catatan peringatan di sini. Hanya karena situs tidak menerima peringkat A tidak berarti orang-orang yang menjalankannya melakukan pekerjaan yang buruk. SSL Labs membanting RC4 sebagai algoritma enkripsi yang lemah meskipun tidak ada serangan yang diketahui untuk melawannya. Benar, itu kurang tahan terhadap upaya brute force daripada sesuatu seperti RSA atau ECDH, tetapi itu tidak selalu buruk. Situs mungkin menawarkan opsi koneksi RC4 karena diperlukan kompatibilitas dengan browser tertentu sehingga menggunakan peringkat situs sebagai panduan, bukan pernyataan keamanan berlapis besi atau ketiadaan.
Kami telah membahas latar belakang, sekarang mari kita tangan kita kotor. Memperbarui rangkaian opsi yang disediakan server Windows Anda tidak selalu mudah, tetapi tentu saja tidak sulit juga.
Untuk memulai, tekan Windows Key + R untuk membuka kotak dialog "Run". Ketik "gpedit.msc" dan klik "OK" untuk meluncurkan Editor Kebijakan Grup. Di sinilah kami akan membuat perubahan kami.
Di sisi kiri, perluas Konfigurasi Komputer, Template Administratif, Jaringan, lalu klik Pengaturan Konfigurasi SSL.
Di sisi kanan, klik dua kali pada SSL Cipher Suite Order.
Secara default, tombol "Not Configured" dipilih. Klik pada tombol "Diaktifkan" untuk mengedit Cipher Suites server Anda.
Bidang Cipher Suites SSL akan terisi dengan teks setelah Anda mengklik tombol. Jika Anda ingin melihat apa Cipher Suites server Anda saat ini menawarkan, salin teks dari kolom SSL Cipher Suites dan tempelkan ke Notepad. Teks akan berada dalam satu string panjang yang tidak putus. Masing-masing opsi enkripsi dipisahkan oleh koma. Menempatkan setiap opsi pada barisnya sendiri akan membuat daftar lebih mudah dibaca.
Anda dapat melalui daftar dan menambahkan atau menghapus isi hati Anda dengan satu batasan; daftar tidak boleh lebih dari 1.023 karakter. Ini sangat menjengkelkan karena cipher suite memiliki nama panjang seperti "TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P384", jadi pilihlah dengan hati-hati. Saya merekomendasikan menggunakan daftar yang disatukan oleh Steve Gibson di GRC.com: https://www.grc.com/miscfiles/SChannel_Cipher_Suites.txt.
Setelah Anda mengurasi daftar Anda, Anda harus memformatnya untuk digunakan. Seperti daftar asli, yang baru Anda perlu menjadi satu string karakter tak terputus dengan setiap cipher yang dipisahkan oleh koma. Salin teks Anda yang telah diformat dan tempelkan ke dalam bidang Cipher Suites SSL dan klik OK. Akhirnya, untuk membuat perubahan tetap, Anda harus reboot.
Dengan server Anda kembali dan berjalan, kepala ke Lab SSL dan mengujinya. Jika semuanya berjalan lancar, hasilnya akan memberi Anda peringkat A.
Jika Anda ingin sesuatu yang sedikit lebih visual, Anda dapat menginstal IIS Crypto oleh Nartac (https://www.nartac.com/Products/IISCrypto/Default.aspx). Aplikasi ini akan memungkinkan Anda melakukan perubahan yang sama dengan langkah-langkah di atas. Ini juga memungkinkan Anda mengaktifkan atau menonaktifkan cipher berdasarkan berbagai kriteria sehingga Anda tidak harus melakukannya secara manual.
Tidak peduli bagaimana Anda melakukannya, memperbarui Cipher Suites Anda adalah cara mudah untuk meningkatkan keamanan bagi Anda dan pengguna akhir Anda.