Menyiapkan server Anda dengan benar di Windows penting jika Anda ingin memastikan Anda benar-benar menggunakan algoritma enkripsi untuk melindungi data yang masuk dari klien (browser web) ke server dan kembali lagi.
Di halaman ini, kami memiliki beberapa informasi dasar tentang memilih Cipher Suite yang tepat untuk digunakan dengan Windows Server Anda serta cara mengaturnya. Sebaiknya aktifkan hanya yang tertentu yang akan Anda gunakan dan nonaktifkan sisanya. Perhatikan juga bahwa SSL 2.0 dan lainnya mungkin tidak diaktifkan secara default.
Memahami Cipher Suites dan Schannel.dll
Sebelum membahas apa yang perlu Anda lakukan untuk mengubah Cipher Suites mana yang digunakan dan Algoritma dan Protokol Kriptografi mana yang digunakan, kami akan menjelaskan secara singkat file Schannel.dll, termasuk bagaimana ia menggunakan Cipher Suites untuk menentukan protokol keamanan yang akan digunakan . Ini diatur di Registry untuk Windows dan tidak sulit untuk dilakukan. Petunjuknya sedikit berbeda tergantung sistem operasi dan server web yang Anda gunakan.
Apa itu Schannel.dll?
Sederhananya, Schannel.dll adalah perpustakaan yang merupakan Microsoft utama TLS/Penyedia Keamanan SSL. Itu singkatan dari Secure Channel dan digunakan oleh Microsoft Web Server, termasuk Windows Server 2003, Windows Server 2008, Windows 7, Windows Server 2008 R2 dan lainnya, termasuk yang lebih tua seperti Windows XP dan Windows NT. Kami akan memiliki lebih banyak tentang perbedaan di bawah ini, tetapi untuk saat ini ketahuilah bahwa Schannel.dll digunakan untuk menentukan protokol apa yang akan digunakan.
Apa itu Cipher Suite?
Suite sandi tidak lebih dari satu set algoritma kriptografi. Protokol Schannel menggunakan berbagai algoritma dari cipher suite tertentu untuk membuat kunci dan mengenkripsi informasi. Secara umum, suite sandi akan menentukan satu algoritma untuk masing-masing dari tiga tugas berikut:
- Pertukaran kunci - Algoritme ini asimetris (algoritme kunci publik) dan bekerja dengan baik dengan sejumlah kecil data. Mereka digunakan untuk melindungi informasi yang diperlukan untuk membuat kunci bersama untuk transaksi yang aman.
- Enkripsi massal - Tugas ini akan mengenkripsi pesan yang dipertukarkan antara klien dan server. Algoritme ini simetris dan cenderung berkinerja sangat baik, bahkan dengan sejumlah besar data yang ditransfer.
- Otentikasi pesan - Algoritma ini menghasilkan pesan hash dan tanda tangan yang memastikan integritas sebuah pesan.
Semua hal di atas menggunakan ALG_ID - tipe data yang menentukan pengenal algoritme - agar sistem operasi mengetahui Cipher Suite mana yang akan digunakan. Anda dapat melihat daftar semua Cipher Suites yang tersedia untuk Schannel.dll di situs web Microsoft di sini.
Mengubah Suites Cipher di Schannel.dll
Sekarang setelah Anda mengetahui lebih banyak tentang cipher suite dan Schannel.dll, sekarang saatnya untuk membahas cara mengubah Algoritma dan Protokol Kriptografi mana yang sebenarnya digunakan. Penting untuk dicatat bahwa meskipun Anda mengubah apa yang digunakan Schannel.dll, perangkat lunak yang akan Anda gunakan juga harus mendukung protokol. Berikut adalah daftar berbagai sistem operasi Windows yang mungkin Anda gunakan sebagai server.
- Windows Server Standard 2012
- Windows Server Datacenter 2012
- Windows Server Perusahaan 2008 R2
- Windows Server Standard 2008 R2
- Windows Server Datacenter 2008 R2
- 7 Enterprise Windows
- Jendela 7 Profesional
- Windows Server Perusahaan 2008
- Windows Server Standard 2008
- Windows Server Datacenter 2008
- 2003 Microsoft Windows Server, Enterprise Edition (32-bit x86)
- 2003 Microsoft Windows Server, Standard Edition (32-bit x86)
- Microsoft Windows Server 2003, Edisi Web
- Microsoft Windows XP Professional
- Microsoft Windows XP Home Edition
- Microsoft Windows Server 2000
- Server Lanjut Microsoft Windows 2000
- Microsoft Windows 2000 Edisi Profesional
- Microsoft Windows NT Server 4.0 Edisi Standar
- Microsoft Windows NT Server 4.0 Edisi Perusahaan
- Edisi Pengembang Microsoft Windows NT Workstation 4.0
Windows NT 4.0 Paket Layanan 6, Windows 2000, Windows XP, Windows 2003
Pertama, kita akan melihat sistem operasi Windows 2003 dan sebelumnya. Untuk mengaktifkan dan menonaktifkan protokol yang berbeda, Anda harus menggunakan Regedt32.exe untuk menemukan kunci registri berikut ini:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSCHANNEL
Selanjutnya, kita akan membahas berbagai subkunci yang tersedia - dan di mana Anda ingin membuat perubahan. Pada dasarnya, untuk mengaktifkan salah satu dari yang di bawah ini, setel data nilai DWORD ke 0xffffffff atau setel ke 0x0 untuk menonaktifkan subkunci tertentu.
- SCHANNELProtokol - Untuk mengaktifkan sistem untuk menggunakan protokol yang tidak akan dinegosiasikan secara default (seperti TLS 1.1 dan TLS 1.2), ubah data nilai DWORD dari nilai DisabledByDefault menjadi 0x0 dalam kunci registri berikut di bawah kunci Protokol:
- Subkunci SCHANNELCiphers - Kunci registri Cipher di bawah kunci SCHANNEL digunakan untuk mengontrol penggunaan algoritme simetris seperti DES dan RC4. Berikut ini adalah kunci registri yang valid di bawah kunci sandi.
- Subkey SCHANNEL / Hash - Kunci registri Hash di bawah kunci SCHANNEL digunakan untuk mengontrol penggunaan algoritme hashing seperti SHA-1 dan MD5. Berikut ini adalah kunci registri yang valid di bawah kunci Hash.
- Subkunci SCHANNEL / KeyExchangeAlgorithms - Kunci registri KeyExchangeAlgorithms di bawah kunci SCHANNEL digunakan untuk mengontrol penggunaan algoritme pertukaran kunci seperti RSA. Berikut ini adalah kunci registri yang valid di bawah kunci KeyExchangeAlgorithms.
Sumber: Basis Pengetahuan Microsoft
CATATAN: Untuk file Schannel.dll untuk mengenali perubahan di bawah kunci registri SCHANNEL, Anda harus me-restart komputer.
Windows 7, Windows Server 2008 dan Selanjutnya
Untuk sistem operasi yang lebih baru, Registry diatur sedikit berbeda. Inilah kunci yang ingin Anda gunakan untuk mengaktifkan atau menonaktifkan protokol tertentu. Untuk mengaktifkan salah satu dari berikut ini, setel data nilai DWORD ke dword: 00000001 atau setel ke dword: 00000000 untuk menonaktifkan subkunci tersebut.
- [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSchannel]
- “EventLogging” = dword: 00000001
- [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSchannelCiphers]
- [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSchannelCipherSuites]
- [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSchannelHash]
- [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSchannelKeyExchangeAlgorithms]
- [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSchannelProtocols]
- [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSchannelProtocolsSSL 2.0]
- [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSchannelProtocolsSSL 2.0Client]
- “DisabledByDefault” = dword: 00000001
Windows Server 2008 mendukung protokol berikut:
- SSL 2.0
- SSL 3.0
- TLS 1.0
Windows Server 2008 R2 dan Windows 7 mendukung protokol berikut:
- SSL 2.0
- SSL 3.0
- TLS 1.0
- TLS 1.1
- TLS 1.2
Sumber: Basis Pengetahuan Microsoft
Studi Kasus: Aktifkan TLS 1.2 Ciphers di IIS 7.5, Server 2008 R2, Windows 7
Di Blog Derek Seaman, dia datang dengan skrip PowerShell yang bagus kembali pada tahun 2010 untuk membantu mengaktifkan TLS 1.2 cipher - yang dienkripsi AES-256 dengan hash SHA-256.
Cipher Suites di Schannel.dll
Jika Anda memiliki pertanyaan tentang Cipher Suites di Schannel.dll atau hal lain terkait sertifikat SSL dan memastikan data pengunjung situs web Anda selalu aman, jangan ragu untuk menghubungi kami. Kami akan melakukan yang terbaik untuk menjawab pertanyaan Anda dan mengarahkan Anda ke arah yang benar.