El Servicio de información de Internet de Windows (o IIS) 7.5 y 8 se puede configurar para usar solo cifras fuertes. Este artículo le mostrará los pasos necesarios para hacer esto.
Ver y editar cifrados habilitados
- Desde una línea de comandos, ejecute gpedit.msc para iniciar el Editor de directivas de grupo local,
- Aparecerá una ventana con el Editor de políticas de grupo local. En el panel izquierdo, haga clic en Configuración del equipo >> Plantillas administrativas >> Nuestra red >> Opciones de configuración de SSL.
- En el panel derecho, haga doble clic. Orden de la suite de cifrado SSL para editar los cifrados aceptados. Tenga en cuenta que el editor solo aceptará hasta 1023 bytes de texto en la cadena de cifrado; cualquier texto adicional se ignorará sin previo aviso.
- Guarde los cambios cuando haya terminado y luego reinicie el servidor para que surtan efecto. No olvide que cambiar la configuración de su suite de cifrado puede hacer que los navegadores más antiguos fallen en su sitio web porque no pueden usar los protocolos más fuertes actualizados.
Selección de conjuntos de cifrado fuertes
Puede encontrar una lista de todas las suites de cifrado disponibles en este enlace en la biblioteca de soporte de Microsoft.
SSL.com recomienda la siguiente configuración de conjunto de cifrado. Estos han sido seleccionados por su velocidad y seguridad. Puede usar esta lista como plantilla para su configuración, pero sus propias necesidades siempre deben tener prioridad. Es posible que se requieran conjuntos de cifrado más antiguos y menos seguros para el software heredado (como los navegadores más antiguos). Es posible que desee agregar soporte para estos navegadores heredados si sus clientes no están actualizados.
- TLS_ECDHE_ECDSA_CON_AES_128_GCM_SHA256_P256
- TLS_ECDHE_ECDSA_CON_AES_256_GCM_SHA384_P384
- TLS_ECDHE_ECDSA_CON_AES_128_CBC_SHA_P256
- TLS_ECDHE_ECDSA_CON_AES_256_CBC_SHA_P256
- TLS_ECDHE_ECDSA_CON_AES_128_CBC_SHA256_P256
- TLS_ECDHE_ECDSA_CON_AES_256_GCM_SHA384_P384
- TLS_ECDHE_RSA_CON_AES_128_CBC_SHA256_P256
- TLS_ECDHE_RSA_CON_AES_256_CBC_SHA_P256
- TLS_ECDHE_ECDSA_CON_AES_128_GCM_SHA256_P256
- TLS_DHE_RSA_CON_AES_128_GCM_SHA256 *
- TLS_DHE_RSA_CON_AES_256_GCM_SHA384 *
* Solo Windows 8.1 y Windows Server 2012 R2.