Windows Internet Information Service (oder IIS) 7.5 und 8 können so konfiguriert werden, dass nur starke Chiffren verwendet werden. Dieser Artikel zeigt Ihnen die dazu erforderlichen Schritte.
Aktivierte Chiffren anzeigen und bearbeiten
- Führen Sie in einer Befehlszeile gpedit.msc aus, um den lokalen Gruppenrichtlinien-Editor zu starten.
- Ein Fenster mit dem lokalen Gruppenrichtlinien-Editor wird geöffnet. Klicken Sie im linken Bereich auf Computer-Konfiguration >> administrative Vorlagen >> Netzwerk >> SSL-Konfigurationseinstellungen.
- Doppelklicken Sie im rechten Bereich Bestellung der SSL Cipher Suite um die akzeptierten Chiffren zu bearbeiten. Beachten Sie, dass der Editor nur bis zu 1023 Byte Text in der Verschlüsselungszeichenfolge akzeptiert. Zusätzlicher Text wird ohne Vorwarnung ignoriert.
- Speichern Sie Ihre Änderungen, wenn Sie fertig sind, und starten Sie den Server neu, damit sie wirksam werden. Vergessen Sie nicht, dass das Ändern der Konfiguration Ihrer Cipher Suite dazu führen kann, dass ältere Browser auf Ihrer Website ausfallen, da die aktualisierten, stärkeren Protokolle nicht verwendet werden können.
Auswählen von Strong Cipher Suites
Eine Liste aller verfügbaren Cipher Suites finden Sie unter diesen Link in der Support-Bibliothek von Microsoft.
SSL.com empfiehlt die folgende Konfiguration der Cipher Suite. Diese wurden aus Gründen der Geschwindigkeit und Sicherheit ausgewählt. Sie können diese Liste als Vorlage für Ihre Konfiguration verwenden, Ihre eigenen Anforderungen sollten jedoch immer Vorrang haben. Für ältere Software (z. B. ältere Browser) sind möglicherweise ältere, weniger sichere Cipher Suites erforderlich. Möglicherweise möchten Sie Unterstützung für diese älteren Browser hinzufügen, wenn Ihre Clients nicht aktualisiert werden.
- TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P256
- TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P384
- TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA_P256
- TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA_P256
- TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P256
- TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P384
- TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P256
- TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P256
- TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P256
- TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 *
- TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 *
* Nur Windows 8.1 und Windows Server 2012 R2.