Интернет информационната услуга на Windows (или IIS) 7.5 и 8 може да бъде конфигурирана да използва само силни шифри. Тази статия ще ви покаже необходимите стъпки за това.
Преглед и редактиране на активирани шифри
- От команден ред стартирайте gpedit.msc, за да стартирате редактора на местната групова политика,
- Ще се появи прозорец с редактора на локални групови правила. В левия прозорец щракнете компютърна конфигурация >> административните шаблони >> мрежа >> Настройки за конфигурация на SSL.
- В десния прозорец щракнете двукратно Поръчка за SSL Cipher Suite за редактиране на приетите шифри. Имайте предвид, че редакторът ще приеме само до 1023 байта текст в низа на шифъра - всеки допълнителен текст ще бъде пренебрегнат без предупреждение.
- Запазете промените, когато приключите, и след това рестартирайте сървъра, за да влязат в сила. Не забравяйте, че промяната на конфигурацията на вашия шифрен пакет може да доведе до отказ на по-старите браузъри на уебсайта ви, защото ако не са в състояние да използват актуализираните по-силни протоколи.
Избор на силни шифър пакети
Списък с всички налични пакети за шифри можете да намерите на тази връзка в библиотеката за поддръжка на Microsoft.
SSL.com препоръчва следната конфигурация на набор от шифри. Те са избрани за скорост и сигурност. Можете да използвате този списък като шаблон за вашата конфигурация, но вашите собствени нужди винаги трябва да имат предимство. По-стари, по-малко сигурни пакети за шифроване може да са необходими за стария софтуер (като по-стари браузъри). Може да добавите поддръжка за тези стари браузъри, ако клиентите ви не са актуализирани.
- TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P256
- TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P384
- TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA_P256
- TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA_P256
- TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P256
- TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P384
- TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P256
- TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P256
- TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P256
- TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 *
- TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 *
* Само за Windows 8.1 и Windows Server 2012 R2.