Cung cấp một bộ mã hóa tốt hơn là miễn phí và khá dễ dàng để thiết lập. Chỉ cần làm theo hướng dẫn từng bước này để bảo vệ người dùng và máy chủ của bạn. Bạn cũng sẽ tìm hiểu cách thử nghiệm các dịch vụ mà bạn sử dụng để xem chúng thực sự an toàn như thế nào.
Tại sao Cipher Suites của bạn lại quan trọng
IIS của Microsoft khá tuyệt vời. Rất dễ thiết lập và duy trì. Nó có giao diện đồ họa thân thiện với người dùng giúp cấu hình dễ dàng. Nó chạy trên Windows. IIS thực sự có rất nhiều thứ cho nó, nhưng thực sự bị mất khi nói đến các giá trị mặc định bảo mật.
Lỗ hổng gây tử vong trong điều này là không phải tất cả các tùy chọn mã hóa đều được tạo ra như nhau. Một số sử dụng các thuật toán mã hóa thực sự tuyệt vời (ECDH), một số khác thì ít tuyệt vời hơn (RSA), và một số chỉ bị bệnh (DES). Trình duyệt có thể kết nối với máy chủ bằng bất kỳ tùy chọn nào mà máy chủ cung cấp. Nếu trang web của bạn đang cung cấp một số tùy chọn ECDH nhưng cũng có một số tùy chọn DES, máy chủ của bạn cũng sẽ kết nối. Hành động đơn giản của việc cung cấp các tùy chọn mã hóa xấu này làm cho trang web, máy chủ của bạn và người dùng của bạn có thể dễ bị tổn thương. Thật không may, theo mặc định, IIS cung cấp một số tùy chọn khá nghèo. Không thảm khốc, nhưng chắc chắn không tốt.
Làm thế nào để xem nơi bạn đứng
Trước khi chúng tôi bắt đầu, bạn có thể muốn biết vị trí của trang web. Rất may, những người tốt ở Qualys đang cung cấp SSL Labs cho tất cả chúng ta miễn phí. Nếu bạn truy cập https://www.ssllabs.com/ssltest/, bạn có thể thấy chính xác cách máy chủ của bạn phản hồi các yêu cầu HTTPS. Bạn cũng có thể xem các dịch vụ bạn sử dụng thường xuyên như thế nào.
Cập nhật bộ mã hóa của bạn
Chúng tôi đã đề cập đến nền tảng, giờ hãy để tay của chúng tôi bị bẩn. Cập nhật bộ tùy chọn mà máy chủ Windows của bạn cung cấp không nhất thiết phải đơn giản, nhưng chắc chắn cũng không khó.
Bạn có thể xem qua danh sách và thêm hoặc xóa nội dung trái tim của mình bằng một hạn chế; danh sách không được nhiều hơn 1.023 ký tự. Điều này đặc biệt khó chịu vì các bộ mã hóa có tên dài như “TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P384”, vì vậy hãy chọn cẩn thận. Tôi khuyên bạn nên sử dụng danh sách được Steve Gibson tổng hợp tại GRC.com: https://www.grc.com/miscfiles/SChannel_Cipher_Suites.txt.
Khi bạn đã sắp xếp danh sách của mình, bạn phải định dạng danh sách để sử dụng. Giống như danh sách gốc, danh sách mới của bạn cần phải là một chuỗi ký tự không gián đoạn với mỗi mật mã được phân cách bằng dấu phẩy. Sao chép văn bản đã định dạng của bạn và dán vào trường Mật mã SSL và nhấp vào OK. Cuối cùng, để tạo thanh thay đổi, bạn phải khởi động lại.
Khi máy chủ của bạn được sao lưu và chạy, hãy truy cập SSL Labs và kiểm tra nó. Nếu mọi thứ suôn sẻ, kết quả sẽ cho bạn xếp hạng A.
Bất kể bạn làm như thế nào, cập nhật Cipher Suites của bạn là một cách dễ dàng để cải thiện bảo mật cho bạn và người dùng cuối của bạn.
