Menyediakan cipher suite yang lebih baik adalah gratis dan cukup mudah untuk diatur. Cukup ikuti panduan langkah demi langkah ini untuk melindungi pengguna dan server Anda. Anda juga akan belajar cara menguji layanan yang Anda gunakan untuk melihat seberapa aman mereka sebenarnya.
Mengapa Cipher Suites Anda Penting
IIS Microsoft cukup hebat. Itu mudah disiapkan dan dikelola. Ini memiliki antarmuka grafis ramah pengguna yang membuat konfigurasi mudah. Ini berjalan di Windows. IIS benar-benar memiliki banyak hal untuk itu, tetapi benar-benar jatuh ketika datang ke default keamanan.
Kelemahan fatal dalam hal ini adalah tidak semua opsi enkripsi dibuat sama. Beberapa menggunakan algoritma enkripsi yang sangat bagus (ECDH), yang lain kurang bagus (RSA), dan beberapa hanya tidak disarankan (DES). Browser dapat terhubung ke server menggunakan salah satu opsi yang disediakan server. Jika situs Anda menawarkan beberapa opsi ECDH tetapi juga beberapa opsi DES, server Anda akan terhubung juga. Tindakan sederhana untuk menawarkan opsi enkripsi yang buruk ini membuat situs Anda, server Anda, dan pengguna Anda berpotensi rentan. Sayangnya, secara default, IIS menyediakan beberapa opsi yang sangat buruk. Tidak malapetaka, tapi jelas tidak bagus.
Cara Melihat Tempat Anda Berdiri
Sebelum memulai, Anda mungkin ingin tahu di mana situs Anda berdiri. Untungnya orang-orang baik di Qualys menyediakan Lab SSL untuk kita semua secara gratis. Jika Anda membuka https://www.ssllabs.com/ssltest/, Anda dapat melihat dengan tepat bagaimana server Anda merespons permintaan HTTPS. Anda juga dapat melihat bagaimana layanan yang Anda gunakan secara teratur menumpuk.
Memperbarui Cipher Suite Anda
Kami telah meliput latar belakang, sekarang biarkan tangan kita kotor. Memperbarui rangkaian opsi yang disediakan server Windows Anda tidak selalu mudah, tetapi jelas tidak terlalu sulit.
Anda dapat melalui daftar dan menambahkan atau menghapus isi hati Anda dengan satu batasan; daftar tidak boleh lebih dari 1.023 karakter. Ini sangat menjengkelkan karena cipher suite memiliki nama panjang seperti "TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P384", jadi pilihlah dengan hati-hati. Saya merekomendasikan menggunakan daftar yang disatukan oleh Steve Gibson di GRC.com: https://www.grc.com/miscfiles/SChannel_Cipher_Suites.txt.
Setelah Anda mengurasi daftar Anda, Anda harus memformatnya untuk digunakan. Seperti daftar asli, yang baru Anda perlu menjadi satu string karakter tak terputus dengan setiap cipher yang dipisahkan oleh koma. Salin teks Anda yang telah diformat dan tempelkan ke dalam bidang Cipher Suites SSL dan klik OK. Akhirnya, untuk membuat perubahan tetap, Anda harus reboot.
Dengan server Anda kembali dan berjalan, kepala ke Lab SSL dan mengujinya. Jika semuanya berjalan lancar, hasilnya akan memberi Anda peringkat A.
Tidak peduli bagaimana Anda melakukannya, memperbarui Cipher Suites Anda adalah cara mudah untuk meningkatkan keamanan bagi Anda dan pengguna akhir Anda.