Page d'accueil » comment » Comment mettre à jour votre suite de chiffrement Windows Server pour une meilleure sécurité

    Comment mettre à jour votre suite de chiffrement Windows Server pour une meilleure sécurité

    Vous gérez un site Web respectable auquel vos utilisateurs peuvent faire confiance. Droite? Vous voudrez peut-être vérifier cela. Si votre site fonctionne sous Microsoft Internet Information Services (IIS), vous pourriez être surpris. Lorsque vos utilisateurs tentent de se connecter à votre serveur via une connexion sécurisée (SSL / TLS), vous ne leur fournissez peut-être pas une option sûre..

    Fournir une meilleure suite de chiffrement est gratuit et assez facile à installer. Suivez simplement ce guide étape par étape pour protéger vos utilisateurs et votre serveur. Vous apprendrez également à tester les services que vous utilisez pour vérifier leur sécurité..

    Pourquoi vos suites de chiffrement sont-elles importantes?

    Microsoft IIS est très bien. C'est à la fois facile à installer et à entretenir. Son interface graphique conviviale facilite grandement la configuration. Il fonctionne sous Windows. IIS a vraiment beaucoup à faire, mais tombe vraiment à plat quand il s'agit de défauts de sécurité.

    Voici comment fonctionne une connexion sécurisée. Votre navigateur initie une connexion sécurisée à un site. Ceci est plus facilement identifié par une URL commençant par «HTTPS: //». Firefox propose une petite icône de verrou pour illustrer ce point. Chrome, Internet Explorer et Safari utilisent tous des méthodes similaires pour vous informer que votre connexion est cryptée. Le serveur auquel vous vous connectez répond à votre navigateur avec une liste d'options de cryptage parmi lesquelles vous pouvez choisir dans l'ordre de préférence préféré. Votre navigateur descend la liste jusqu'à ce qu'il trouve une option de cryptage qu'il aime et que nous partons. Le reste, comme on dit, est en maths. (Personne ne dit ça.)

    L’inconvénient majeur est que toutes les options de chiffrement ne sont pas créées de la même manière. Certains utilisent de très bons algorithmes de cryptage (ECDH), d’autres sont moins géniaux (RSA) et d’autres mal conseillés (DES). Un navigateur peut se connecter à un serveur en utilisant l’une des options fournies par le serveur. Si votre site propose des options ECDH, mais également des options DES, votre serveur se connectera sur l'une ou l'autre. Le simple fait de proposer ces mauvaises options de cryptage rend votre site, votre serveur et vos utilisateurs potentiellement vulnérables. Malheureusement, par défaut, IIS fournit de très mauvaises options. Pas catastrophique, mais certainement pas bon.

    Comment voir où vous en êtes

    Avant de commencer, vous voudrez peut-être savoir où se trouve votre site. Heureusement, les collaborateurs de Qualys fournissent gratuitement tous les services SSL Labs. Si vous allez à https://www.ssllabs.com/ssltest/, vous pouvez voir exactement comment votre serveur répond aux demandes HTTPS. Vous pouvez également voir comment les services que vous utilisez régulièrement s'empilent.

    Une note de prudence ici. Ce n’est pas parce qu’un site ne reçoit la note A que ses administrateurs font un mauvais travail. SSL Labs considère RC4 comme un algorithme de cryptage faible, même s’il n’ya pas d’attaque connue. Certes, il est moins résistant aux tentatives de force brutale que quelque chose comme RSA ou ECDH, mais ce n’est pas nécessairement mauvais. Un site peut offrir une option de connexion RC4 par nécessité pour des raisons de compatibilité avec certains navigateurs. Par conséquent, utilisez le classement de ces sites comme référence, et non comme une déclaration de sécurité intégrale ou son absence..

    Mise à jour de votre suite de chiffrement

    Nous avons couvert le fond, maintenant, nous nous salissons les mains. Mettre à jour la suite d'options fournie par votre serveur Windows n'est pas nécessairement simple, mais ce n'est pas compliqué non plus..

    Pour commencer, appuyez sur Windows Key + R pour faire apparaître la boîte de dialogue "Exécuter". Tapez "gpedit.msc" et cliquez sur "OK" pour lancer l'éditeur de stratégie de groupe. C'est là que nous allons faire nos changements.

    Sur le côté gauche, développez Configuration ordinateur, Modèles d'administration, Réseau, puis cliquez sur Paramètres de configuration SSL..

    Sur le côté droit, double-cliquez sur SSL Cipher Suite Order..

    Par défaut, le bouton «Non configuré» est sélectionné. Cliquez sur le bouton «Activé» pour modifier les suites de chiffrement de votre serveur..

    Le champ des suites de chiffrement SSL se remplira de texte une fois que vous aurez cliqué sur le bouton. Si vous voulez voir quelles suites de chiffrement votre serveur propose actuellement, copiez le texte du champ Suites de chiffrement SSL et collez-le dans le Bloc-notes. Le texte sera dans une longue chaîne ininterrompue. Chacune des options de cryptage est séparée par une virgule. Mettre chaque option sur sa propre ligne rendra la liste plus lisible.

    Vous pouvez parcourir la liste et ajouter ou supprimer du contenu de votre coeur avec une seule restriction; la liste ne peut pas contenir plus de 1 023 caractères. Cela est particulièrement gênant car les suites de chiffrement ont des noms longs, tels que «TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P384», choisissez donc avec soin. Je recommande d'utiliser la liste établie par Steve Gibson sur GRC.com: https://www.grc.com/miscfiles/SChannel_Cipher_Suites.txt.

    Une fois que vous avez préparé votre liste, vous devez la formater pour l'utiliser. Comme la liste d'origine, votre nouveau nom doit être constitué d'une chaîne de caractères ininterrompue, chaque chiffre étant séparé par une virgule. Copiez votre texte formaté et collez-le dans le champ Suites de chiffrement SSL, puis cliquez sur OK. Enfin, pour que le changement colle, vous devez redémarrer.

    Avec votre serveur opérationnel, passez à SSL Labs et testez-le. Si tout se passe bien, les résultats devraient vous donner la note A.

    Si vous souhaitez quelque chose de plus visuel, vous pouvez installer IIS Crypto de Nartac (https://www.nartac.com/Products/IISCrypto/Default.aspx). Cette application vous permettra d’apporter les mêmes modifications que les étapes ci-dessus. Il vous permet également d'activer ou de désactiver les chiffrements en fonction de divers critères afin que vous n'ayez pas à les parcourir manuellement..

    Peu importe comment vous le faites, la mise à jour de vos suites de chiffrement constitue un moyen simple d'améliorer la sécurité pour vous et vos utilisateurs finaux..