더 나은 보안을 위해 Windows Server Cipher Suite를 업데이트하는 방법

사용자가 신뢰할 수있는 훌륭한 웹 사이트를 운영합니다. 권리? 그 점을 다시 확인해보십시오. 귀하의 사이트가 Microsoft 인터넷 정보 서비스 (IIS)에서 실행되고 있다면 귀하는 놀랄 것입니다. 사용자가 보안 연결 (SSL / TLS)을 통해 서버에 연결하려고하면 안전한 옵션을 제공하지 못할 수 있습니다.

더 나은 암호 모음을 제공하는 것은 무료이며 설치가 매우 쉽습니다. 사용자와 서버를 보호하려면이 단계별 안내를 따르십시오. 또한 실제로 사용하는 서비스의 안전성을 확인하기 위해 사용하는 서비스를 테스트하는 방법을 배우게됩니다..

사이퍼 스위트가 중요한 이유

Microsoft의 IIS는 꽤 좋습니다. 설치와 유지가 쉽습니다. 사용자에게 친숙한 그래픽 인터페이스로 구성을 쉽게 할 수 있습니다. Windows에서 실행됩니다. IIS는 실제로 많은 것을 가지고 있지만, 보안 기본값에 관해서는 상당히 떨어졌습니다..

다음은 보안 연결이 작동하는 방법입니다. 브라우저가 사이트에 대한 보안 연결을 시작합니다. 이것은 "HTTPS : //"로 시작하는 URL로 쉽게 식별됩니다. 파이어 폭스는 포인트를 더 설명하기 위해 작은 자물쇠 아이콘을 제공합니다. Chrome, Internet Explorer 및 Safari에는 모두 연결이 암호화되었음을 알리는 비슷한 방법이 있습니다. 연결하려는 서버가 가장 선호하는 순서대로 선택할 수있는 암호화 옵션 목록과 함께 브라우저에 응답합니다. 브라우저는 좋아하는 암호화 옵션을 찾을 때까지 목록을 내려갑니다. 그들이 말한 나머지는 수학입니다. (아무도 그렇게 말하지 않습니다.)

치명적인 결함은 모든 암호화 옵션이 똑같이 생성되지 않는다는 것입니다. 일부는 정말 훌륭한 암호화 알고리즘 (ECDH)을 사용하고, 다른 알고리즘은 RSA (중대성)가 아니며, 일부는 잘 알려지지 않았습니다 (DES). 브라우저는 서버가 제공하는 옵션을 사용하여 서버에 연결할 수 있습니다. 사이트에서 일부 ECDH 옵션과 일부 DES 옵션을 제공하는 경우 서버가 연결됩니다. 이러한 잘못된 암호화 옵션을 제공하는 간단한 행위로 인해 사이트, 서버 및 사용자가 잠재적으로 취약해질 수 있습니다. 불행하게도, 기본적으로 IIS는 꽤 나쁜 옵션을 제공합니다. 비극적 인 것은 아니지만 확실히 좋지는 않습니다..

당신이 서있는 곳을 보는 법

시작하기 전에 사이트의 위치를 ​​알고 싶을 수 있습니다. 고맙게도 Qualys의 좋은 사람들은 SSL Lab을 무료로 제공하고 있습니다. https://www.ssllabs.com/ssltest/로 가면 서버가 HTTPS 요청에 어떻게 반응하는지 정확하게 볼 수 있습니다. 또한 정기적으로 사용하는 서비스가.

여기서주의 할 점 하나. 사이트가 A 등급을받지 못했다고해서 사이트를 운영하는 사람들이 나쁜 일을한다는 것을 의미하지는 않습니다. SSL Labs는 RC4를 약한 암호화 알고리즘으로 간주하지만 알려진 공격은 없습니다. 사실 RSA ​​나 ECDH보다 무차별 대입에 덜 저항하지만, 반드시 나쁜 것은 아닙니다. 사이트는 특정 브라우저와의 호환성을 위해 필요에 따라 RC4 연결 옵션을 제공 할 수 있으므로 사이트 순위를 지침으로 삼아야합니다..

Cipher Suite 업데이트

We 've는 배경을 포함했다, 지금 우리 손이 더러워 지도록 해주세요. Windows 서버가 제공하는 옵션 세트를 업데이트하는 것이 반드시 간단하지는 않지만 반드시 어렵지는 않습니다..

시작하려면 Windows 키 + R을 눌러 "실행"대화 상자를 불러옵니다. "gpedit.msc"를 입력하고 "확인"을 클릭하여 그룹 정책 편집기를 시작합니다. 여기가 우리가 변경하게 될 곳입니다..

왼쪽에서 컴퓨터 구성, 관리 템플릿, 네트워크를 확장 한 다음 SSL 구성 설정을 클릭합니다..

오른쪽에서 SSL Cipher Suite Order를 두 번 클릭하십시오..

기본적으로 "구성되지 않음"단추가 선택됩니다. 서버의 암호 스위트를 편집하려면 "사용함"버튼을 클릭하십시오..

SSL Cipher Suites 필드는 버튼을 클릭하면 텍스트로 채워집니다. 서버가 현재 제공하는 Cipher Suites를 보려면 SSL Cipher Suites 필드의 텍스트를 복사하여 메모장에 붙여 넣으십시오. 텍스트는 길고 끊어지지 않은 하나의 문자열에 있습니다. 각 암호화 옵션은 쉼표로 구분됩니다. 각 옵션을 자체 행에두면 목록을 읽기 쉽게 만듭니다..

하나의 제한 사항으로 목록을 검토하여 마음의 내용을 추가하거나 제거 할 수 있습니다. 목록은 1,023자를 초과 할 수 없습니다. 암호 스위트에는 "TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P384"와 같은 긴 이름이 있으므로 특히주의해야합니다. GRC.com의 Steve Gibson이 작성한 목록을 사용하는 것이 좋습니다 : https://www.grc.com/miscfiles/SChannel_Cipher_Suites.txt.

목록을 선별 한 후에는 사용할 수 있도록 형식을 지정해야합니다. 원래 목록과 마찬가지로 새 암호는 쉼표로 구분 된 각 암호가있는 깨지지 않은 하나의 문자열이어야합니다. 형식이 지정된 텍스트를 복사하여 SSL Cipher Suites 필드에 붙여넣고 확인을 클릭하십시오. 마지막으로 변경 사항을 적용하려면 재부팅해야합니다..

서버를 백업하고 실행하면서 SSL 연구소로 가서 테스트 해보십시오. 모든 것이 잘되면 결과는 당신에게 A 등급을 주어야합니다..

좀 더 시각적 인 것을 원하면 Nartac (https://www.nartac.com/Products/IISCrypto/Default.aspx)에서 IIS Crypto를 설치할 수 있습니다. 이 응용 프로그램을 사용하면 위의 단계와 동일한 변경을 수행 할 수 있습니다. 또한 다양한 기준에 따라 암호를 활성화 또는 비활성화 할 수 있으므로 암호를 수동으로 처리 할 필요가 없습니다..

어떤 방식 으로든 Cipher Suites를 업데이트하면 귀사와 최종 사용자의 보안을 향상시킬 수있는 손쉬운 방법입니다..