Elija las suites de cifrado correctas en Schannel.dll

Configurar su servidor correctamente en Windows es importante si desea asegurarse de que está utilizando los algoritmos de cifrado para proteger los datos que van desde el cliente (navegador web) al servidor y viceversa.

En esta página, tenemos información básica sobre cómo elegir la suite de cifrado adecuada para usar con su servidor de Windows y cómo configurarla. Es una buena idea activar solo los que va a usar en particular y deshabilitar el resto. También tenga en cuenta que SSL 2.0 y otros pueden no estar activados de forma predeterminada.

Comprensión de Cipher Suites y Schannel.dll

Antes de llegar a lo que debe hacer para cambiar qué conjuntos de cifrado se utilizan y qué algoritmos y protocolos criptográficos se utilizan, vamos a explicar brevemente el archivo Schannel.dll, incluido cómo utiliza conjuntos de cifrado para determinar qué protocolos de seguridad utilizar. . Esto está configurado en el Registro de Windows y no es difícil de hacer. Las instrucciones varían un poco según el sistema operativo y el servidor web que esté utilizando.

¿Que es Schannel.dll?

En pocas palabras, Schannel.dll es una biblioteca que es el principal Microsoft TLS/ Proveedor de seguridad SSL. Significa Secure Channel y lo utilizan los servidores web de Microsoft, incluidos Windows Server 2003, Windows Server 2008, Windows 7, Windows Server 2008 R2 y otros, incluidos los más antiguos como Windows XP e incluso Windows NT. Tendremos más información sobre las diferencias a continuación, pero por ahora solo sepa que Schannel.dll se usa para determinar qué protocolo usar.

¿Qué es una suite de cifrado?

Un conjunto de cifrado no es más que un conjunto de algoritmos criptográficos. Los protocolos de Schannel utilizan los diversos algoritmos de un conjunto de cifrado particular para crear claves y cifrar información. En general, un conjunto de cifrado especificará un algoritmo para cada una de las siguientes tres tareas:

• Intercambio de llaves - Estos algoritmos son asimétricos (algoritmos de clave pública) y funcionan bien con pequeñas cantidades de datos. Se utilizan para proteger la información necesaria para crear claves compartidas para transacciones seguras.
• Encriptación masiva - Esta tarea cifrará los mensajes intercambiados entre clientes y servidores. Estos algoritmos son simétricos y tienden a funcionar muy bien, incluso con grandes cantidades de datos transferidos.
• Autenticación de mensajes - Estos algoritmos generan mensaje hash y firmas que aseguran la integridad de un mensaje

Todo lo anterior usa ALG_ID, un tipo de datos que especifica un identificador de algoritmo, para que el sistema operativo sepa qué Cipher Suite usar. Puede ver una lista de todas las suites de cifrado disponibles para Schannel.dll en el sitio web de Microsoft esta página.

Cambiar las suites de cifrado en Schannel.dll

Ahora que sabe un poco más sobre las suites de cifrado y Schannel.dll, es hora de repasar cómo cambiar qué algoritmos y protocolos criptográficos se utilizan realmente. Es importante tener en cuenta que incluso si cambia lo que usa Schannel.dll, el software que utilizará también debe admitir los protocolos. A continuación, se muestra una lista de los distintos sistemas operativos de Windows que puede estar utilizando como servidor.

• Windows Server Standard 2012
• Windows Server Datacenter 2012
• Windows Server Enterprise 2008 R2
• Windows Server Standard 2008 R2
• Windows Server Datacenter 2008 R2
• 7 Windows Enterprise
• Ventanas 7 Profesional
• Windows Server Enterprise 2008
• Windows Server Standard 2008
• Windows Server Datacenter 2008
• 2003 Microsoft Windows Server, Enterprise Edition (32 bits x86)
• 2003 Microsoft Windows Server, Standard Edition (32 bits x86)
• Microsoft Windows Server 2003, Edición Web
• Microsoft Windows XP Professional
• Microsoft Windows XP Home Edition
• Microsoft Windows Server 2000
• Servidor avanzado de Microsoft Windows 2000
• Edición profesional de Microsoft Windows 2000
• Edición estándar de Microsoft Windows NT Server 4.0
• Microsoft Windows NT Server 4.0 Edición Empresarial
• Edición de desarrollador de Microsoft Windows NT Workstation 4.0

Windows NT 4.0 Service Pack 6, Windows 2000, Windows XP, Windows 2003

Primero, veremos los sistemas operativos Windows 2003 y anteriores. Para activar y desactivar diferentes protocolos, primero debe usar Regedt32.exe para ubicar la siguiente clave de registro:

• HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSCHANNEL

A continuación, repasaremos las distintas subclaves que están disponibles y dónde desea realizar los cambios. Básicamente, para habilitar uno de los siguientes, configure sus datos de valor DWORD en 0xffffffff o configúrelo en 0x0 para deshabilitar esa subclave en particular.

• SCHANNELProtocolos - Para permitir que el sistema utilice los protocolos que no serán negociados por defecto (como TLS 1.1 y TLS 1.2), cambie los datos del valor DWORD del valor DisabledByDefault a 0x0 en las siguientes claves de registro bajo la clave Protocolos:
• Subclave SCHANNELCiphers - La clave de registro Ciphers bajo la clave SCHANNEL se utiliza para controlar el uso de algoritmos simétricos como DES y RC4. Las siguientes son claves de registro válidas bajo la clave Ciphers.
• SCHANNEL / Hashes subkey - La clave de registro Hashes bajo la clave SCHANNEL se utiliza para controlar el uso de algoritmos hash como SHA-1 y MD5. Las siguientes son claves de registro válidas bajo la clave Hashes.
• SCHANNEL / KeyExchangeAlgorithms subclave - La clave de registro KeyExchangeAlgorithms bajo la clave SCHANNEL se utiliza para controlar el uso de algoritmos de intercambio de claves como RSA. Las siguientes son claves de registro válidas bajo la clave KeyExchangeAlgorithms.

Fuente: Base de conocimientos de Microsoft

NOTA: Para que el archivo Schannel.dll reconozca cualquier cambio en la clave de registro SCHANNEL, debe reiniciar la computadora.

Windows 7, Windows Server 2008 y posterior

Para los sistemas operativos más nuevos, el Registro está configurado de manera un poco diferente. Aquí están las claves con las que querrá trabajar para activar o desactivar ciertos protocolos. Para habilitar uno de los siguientes, establezca sus datos de valor DWORD en dword: 00000001 o configúrelo en dword: 00000000 para deshabilitar esa subclave en particular.

• [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSchannel]
• "EventLogging" = dword: 00000001
• [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSchannelCiphers]
• [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSchannelCipherSuites]
• [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSchannelHashes]
• [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSchannelKeyExchangeAlgoritmos]
• [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSchannelProtocols]
• [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSchannelProtocolsSSL 2.0]
• [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSchannelProtocolsSSL 2.0Client]
• "DisabledByDefault" = dword: 00000001

Windows Server 2008 admite los siguientes protocolos:

• SSL 2.0
• SSL 3.0
• TLS 1.0

Windows Server 2008 R2 y Windows 7 admiten los siguientes protocolos:

• SSL 2.0
• SSL 3.0
• TLS 1.0
• TLS 1.1
• TLS 1.2

Fuente: Base de conocimientos de Microsoft

Estudio de caso: habilitar TLS 1.2 Cifrados en IIS 7.5, Server 2008 R2, Windows 7

En el Blog de Derek Seaman, se le ocurrió un ingenioso script de PowerShell en 2010 para ayudar con la habilitación TLS 1.2 cifrados: cifrados AES-256 con hashes SHA-256.

Suites de cifrado en Schannel.dll

Si tiene alguna pregunta sobre Cipher Suites en Schannel.dll o cualquier otra cosa relacionada con Certificados SSL y asegurarse de que los datos de los visitantes de su sitio web estén seguros en todo momento, no dude en contactarnos. Haremos todo lo posible para responder a sus preguntas y orientarlo en la dirección correcta.