Página principal » cómo » Cómo actualizar su paquete de cifrado de Windows Server para una mejor seguridad

    Cómo actualizar su paquete de cifrado de Windows Server para una mejor seguridad

    Usted ejecuta un sitio web respetable en el que sus usuarios pueden confiar. ¿Derecha? Es posible que desee volver a comprobar que. Si su sitio se ejecuta en Microsoft Internet Information Services (IIS), es posible que se encuentre con una sorpresa. Cuando sus usuarios intenten conectarse a su servidor a través de una conexión segura (SSL / TLS), es posible que no les proporcione una opción segura.

    Proporcionar un mejor paquete de cifrado es gratuito y bastante fácil de configurar. Simplemente siga esta guía paso a paso para proteger a sus usuarios y su servidor. También aprenderá cómo probar los servicios que usa para ver qué tan seguros son realmente.

    Por qué sus suites de cifrado son importantes

    IIS de Microsoft es bastante grande. Es fácil de instalar y mantener. Tiene una interfaz gráfica fácil de usar que facilita la configuración. Se ejecuta en Windows. IIS realmente tiene mucho a su favor, pero realmente falla cuando se trata de valores predeterminados de seguridad.

    Así es como funciona una conexión segura. Su navegador inicia una conexión segura a un sitio. Esto se identifica más fácilmente mediante una URL que comienza con "HTTPS: //". Firefox ofrece un pequeño ícono de candado para ilustrar el punto aún más. Chrome, Internet Explorer y Safari tienen métodos similares para informarle que su conexión está encriptada. El servidor al que se está conectando responde a su navegador con una lista de opciones de cifrado para elegir en el orden de más preferido a menos. Su navegador baja la lista hasta que encuentra una opción de cifrado que le gusta y estamos en marcha. El resto, como dicen, es matemática. (Nadie dice eso.)

    El error fatal de esto es que no todas las opciones de cifrado se crean por igual. Algunos usan algoritmos de encriptación realmente geniales (ECDH), otros son menos geniales (RSA) y otros simplemente no están bien aconsejados (DES). Un navegador puede conectarse a un servidor utilizando cualquiera de las opciones que proporciona el servidor. Si su sitio ofrece algunas opciones de ECDH pero también algunas opciones de DES, su servidor se conectará en cualquiera de ellas. El simple hecho de ofrecer estas malas opciones de cifrado hace que su sitio, su servidor y sus usuarios sean potencialmente vulnerables. Desafortunadamente, de forma predeterminada, IIS proporciona algunas opciones bastante pobres. No catastrófico, pero definitivamente no es bueno..

    Cómo ver dónde estás parado

    Antes de comenzar, es posible que desee saber dónde se encuentra su sitio. Afortunadamente, la buena gente de Qualys está proporcionando SSL Labs a todos nosotros de forma gratuita. Si va a https://www.ssllabs.com/ssltest/, puede ver exactamente cómo responde su servidor a las solicitudes HTTPS. También puede ver cómo los servicios que usa regularmente se acumulan.

    Una nota de precaución aquí. El hecho de que un sitio no reciba una calificación A no significa que las personas que los ejecutan estén haciendo un mal trabajo. SSL Labs critica al RC4 como un algoritmo de encriptación débil, aunque no hay ataques conocidos contra él. Es cierto que es menos resistente a los intentos de fuerza bruta que algo como RSA o ECDH, pero no es necesariamente malo. Un sitio puede ofrecer una opción de conexión RC4 por necesidad de compatibilidad con ciertos navegadores, así que use las clasificaciones de sitios como una guía, no como una declaración de seguridad o falta de ella..

    Actualización de su suite de cifrado

    Hemos cubierto el fondo, ahora ensuciémonos las manos. Actualizar el conjunto de opciones que proporciona su servidor de Windows no es necesariamente sencillo, pero definitivamente tampoco es difícil.

    Para comenzar, presione la tecla de Windows + R para que aparezca el cuadro de diálogo "Ejecutar". Escriba "gpedit.msc" y haga clic en "Aceptar" para iniciar el Editor de políticas de grupo. Aquí es donde haremos nuestros cambios..

    En el lado izquierdo, expanda Configuración del equipo, Plantillas administrativas, Red, y luego haga clic en Configuración de SSL.

    En el lado derecho, haga doble clic en SSL Cipher Suite Order..

    Por defecto, el botón "No configurado" está seleccionado. Haga clic en el botón "Habilitado" para editar las suites de cifrado de su servidor.

    El campo de las suites de cifrado SSL se llenará de texto una vez que haga clic en el botón. Si desea ver qué suites de cifrado está ofreciendo actualmente su servidor, copie el texto del campo de suites de cifrado SSL y péguelo en el Bloc de notas. El texto estará en una cadena larga e ininterrumpida. Cada una de las opciones de cifrado está separada por una coma. Poner cada opción en su propia línea hará que la lista sea más fácil de leer.

    Puede revisar la lista y agregar o eliminar el contenido de su corazón con una restricción; La lista no puede tener más de 1,023 caracteres. Esto es especialmente molesto porque las suites de cifrado tienen nombres largos como "TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P384", así que elija cuidadosamente. Recomiendo usar la lista elaborada por Steve Gibson en GRC.com: https://www.grc.com/miscfiles/SChannel_Cipher_Suites.txt.

    Una vez que haya curado su lista, debe formatearla para su uso. Al igual que la lista original, su nueva debe ser una cadena de caracteres ininterrumpida con cada cifrado separado por una coma. Copie el texto con formato, péguelo en el campo de las suites de cifrado SSL y haga clic en Aceptar. Por último, para que el cambio se mantenga, hay que reiniciar..

    Con su servidor de nuevo en funcionamiento, diríjase a SSL Labs y pruébelo. Si todo salió bien, los resultados deberían darle una calificación de A.

    Si desea algo más visual, puede instalar IIS Crypto by Nartac (https://www.nartac.com/Products/IISCrypto/Default.aspx). Esta aplicación le permitirá hacer los mismos cambios que los pasos anteriores. También le permite habilitar o deshabilitar cifrados según una variedad de criterios para que no tenga que revisarlos manualmente.

    No importa cómo lo haga, actualizar sus suites de cifrado es una forma fácil de mejorar la seguridad para usted y sus usuarios finales..