Como atualizar seu conjunto de codificação do Windows Server para melhor segurança

Você administra um site respeitável no qual seus usuários podem confiar. Certo? Você pode querer verificar isso. Se o site estiver sendo executado no IIS (Serviços de Informações da Internet da Microsoft), talvez você tenha uma surpresa. Quando seus usuários tentam se conectar ao seu servidor por meio de uma conexão segura (SSL / TLS), você pode não estar fornecendo a eles uma opção segura.

Fornecer um pacote de criptografia melhor é gratuito e fácil de configurar. Basta seguir este guia passo a passo para proteger seus usuários e seu servidor. Você também aprenderá como testar os serviços que usa para ver o quão seguros eles realmente são.

Por que seus conjuntos de codificação são importantes

O IIS da Microsoft é muito bom. É fácil de configurar e manter. Ele tem uma interface gráfica amigável que facilita a configuração. Ele é executado no Windows. O IIS realmente tem muito a oferecer, mas realmente falha quando se trata de padrões de segurança.

Veja como funciona uma conexão segura. Seu navegador inicia uma conexão segura com um site. Isso é mais facilmente identificado por um URL que começa com "HTTPS: //". O Firefox oferece um pequeno ícone de cadeado para ilustrar melhor o ponto. O Chrome, o Internet Explorer e o Safari têm métodos semelhantes para permitir que você saiba que sua conexão está criptografada. O servidor ao qual você está se conectando responde ao seu navegador com uma lista de opções de criptografia para escolher, da ordem mais preferida a menos. Seu navegador desce a lista até encontrar uma opção de criptografia que goste e estamos fora e funcionando. O resto, como dizem, é matemática. (Ninguém diz isso.)

A falha fatal é que nem todas as opções de criptografia são criadas igualmente. Alguns usam algoritmos de criptografia realmente excelentes (ECDH), outros são menos bons (RSA) e alguns são mal aconselhados (DES). Um navegador pode se conectar a um servidor usando qualquer uma das opções oferecidas pelo servidor. Se o seu site estiver oferecendo algumas opções de ECDH, mas também algumas opções de DES, seu servidor também se conectará. O simples ato de oferecer essas opções ruins de criptografia torna seu site, seu servidor e seus usuários potencialmente vulneráveis. Infelizmente, por padrão, o IIS fornece algumas opções muito ruins. Não é catastrófico, mas definitivamente não é bom.

Como ver onde você está

Antes de começarmos, você pode querer saber onde está seu site. Felizmente, o bom pessoal da Qualys está fornecendo SSL Labs para todos nós gratuitamente. Se você acessar https://www.ssllabs.com/ssltest/, poderá ver exatamente como seu servidor está respondendo a solicitações HTTPS. Você também pode ver como os serviços que você usa regularmente se acumulam.

Uma nota de cautela aqui. Só porque um site não recebe uma classificação A não significa que as pessoas que estão executando eles estão fazendo um trabalho ruim. O SSL Labs vence o RC4 como um algoritmo de criptografia fraco, embora não haja ataques conhecidos contra ele. É verdade que é menos resistente a tentativas de força bruta do que algo como RSA ou ECDH, mas não é necessariamente ruim. Um site pode oferecer uma opção de conexão RC4 por necessidade de compatibilidade com certos navegadores, então use os rankings de sites como uma diretriz, não uma declaração de segurança ou falta dela.

Atualizando seu conjunto de criptografia

Nós cobrimos o fundo, agora vamos sujar as mãos. A atualização do conjunto de opções que o seu servidor Windows oferece não é necessariamente direta, mas definitivamente não é difícil.

Para começar, pressione a tecla Windows + R para abrir a caixa de diálogo "Executar". Digite “gpedit.msc” e clique em “OK” para iniciar o Editor de Políticas de Grupo. É aqui que faremos nossas alterações.

À esquerda, expanda Configuração do Computador, Modelos Administrativos, Rede e clique em Configurações de SSL..

À direita, clique duas vezes em SSL Cipher Suite Order.

Por padrão, o botão "Não configurado" está selecionado. Clique no botão "Enabled" para editar as Cipher Suites do seu servidor.

O campo SSL Cipher Suites preencherá o texto quando você clicar no botão. Se você quiser ver quais conjuntos de codificação seu servidor está oferecendo atualmente, copie o texto do campo SSL Cipher Suites e cole-o no Bloco de Notas. O texto estará em uma string longa e ininterrupta. Cada uma das opções de criptografia é separada por uma vírgula. Colocar cada opção em sua própria linha facilitará a leitura da lista.

Você pode percorrer a lista e adicionar ou remover o conteúdo do seu coração com uma restrição; a lista não pode ter mais de 1.023 caracteres. Isso é especialmente irritante porque os conjuntos de criptografia têm nomes longos como "TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P384", portanto, escolha com cuidado. Eu recomendo usar a lista reunida por Steve Gibson no site GRC.com: https://www.grc.com/miscfiles/SChannel_Cipher_Suites.txt.

Depois de selecionar sua lista, você deverá formatá-la para uso. Como a lista original, a sua nova precisa ser uma sequência ininterrupta de caracteres com cada cifra separada por uma vírgula. Copie o texto formatado e cole-o no campo SSL Cipher Suites e clique em OK. Finalmente, para fazer a mudança ficar, você tem que reiniciar.

Com o servidor de volta e funcionando, vá para o SSL Labs e teste-o. Se tudo correu bem, os resultados devem dar uma classificação A.

Se você gostaria de algo um pouco mais visual, você pode instalar o IIS Crypto pela Nartac (https://www.nartac.com/Products/IISCrypto/Default.aspx). Esta aplicação permitirá que você faça as mesmas alterações que as etapas acima. Ele também permite ativar ou desativar criptografias com base em vários critérios, para que você não precise passar por eles manualmente.

Não importa como você faz isso, atualizar seus conjuntos de criptografia é uma maneira fácil de melhorar a segurança para você e seus usuários finais.