Scegli la giusta suite di cifratura in Schannel.dll

Configurare correttamente il tuo server su Windows è importante se vuoi assicurarti di utilizzare effettivamente gli algoritmi di crittografia per proteggere i dati che vanno dal client (browser web) al server e viceversa.

In questa pagina, abbiamo alcune informazioni di base sulla scelta della giusta Cipher Suite da utilizzare con il tuo Windows Server e su come configurarla. È una buona idea attivare solo quelli particolari che utilizzerai e disabilitare il resto. Notare inoltre che SSL 2.0 e altri potrebbero non essere attivati ​​per impostazione predefinita.

Comprensione Cipher Suites e Schannel.dll

Prima di arrivare a ciò che è necessario fare per modificare quali suite di crittografia vengono utilizzate e quali algoritmi e protocolli crittografici vengono utilizzati, spiegheremo brevemente il file Schannel.dll, incluso come utilizza Cipher Suite per determinare quali protocolli di sicurezza utilizzare . Questo è impostato nel registro di Windows e non è difficile da fare. Le istruzioni variano leggermente a seconda del sistema operativo e del server web che stai utilizzando.

Che cosa è Schannel.dll?

In poche parole, Schannel.dll è una libreria che è la principale Microsoft TLS/Fornitore di sicurezza SSL. Sta per Secure Channel ed è utilizzato da Microsoft Web Server, inclusi Windows Server 2003, Windows Server 2008, Windows 7, Windows Server 2008 R2 e altri, inclusi quelli meno recenti come Windows XP e Windows NT. Di seguito avremo maggiori informazioni sulle differenze, ma per ora sappi solo che Schannel.dll viene utilizzato per determinare quale protocollo utilizzare.

Che cos'è una suite di crittografia?

Una suite di crittografia non è altro che un insieme di algoritmi crittografici. I protocolli Schannel utilizzano i vari algoritmi di una particolare suite di crittografia per creare chiavi e crittografare le informazioni. In generale, una suite di crittografia specificherà un algoritmo per ciascuna delle tre attività seguenti:

• Scambio di chiavi - Questi algoritmi sono asimmetrici (algoritmi a chiave pubblica) e funzionano bene con piccole quantità di dati. Vengono utilizzati per proteggere le informazioni necessarie per creare chiavi condivise per transazioni sicure.
• Crittografia in blocco - Questa attività crittografa i messaggi scambiati tra client e server. Questi algoritmi sono simmetrici e tendono a funzionare molto bene, anche con grandi quantità di dati trasferiti.
• Autenticazione dei messaggi - Questi algoritmi generano messaggi hash e firme che assicurano il interezza di un messaggio.

Tutto quanto sopra utilizza ALG_ID, un tipo di dati che specifica un identificatore di algoritmo, per far sapere al sistema operativo quale Cipher Suite utilizzare. È possibile visualizzare un elenco di tutte le suite di cipher disponibili disponibili per Schannel.dll sul sito Web di Microsoft qui.

Modifica delle suite di crittografia in Schannel.dll

Ora che sai qualcosa in più sulle suite di crittografia e Schannel.dll, è il momento di esaminare come modificare gli algoritmi e i protocolli crittografici effettivamente utilizzati. È importante notare che anche se modifichi ciò che utilizza Schannel.dll, il software che utilizzerai deve supportare anche i protocolli. Di seguito è riportato un elenco dei vari sistemi operativi Windows che potresti utilizzare come server.

• Windows Server Standard 2012
• Windows Server Datacenter 2012
• Windows Server Enterprise 2008 R2
• Windows Server Standard 2008 R2
• Windows Server Datacenter 2008 R2
• 7 Windows Enterprise
• Finestre 7 professionale
• Windows Server Enterprise 2008
• Windows Server Standard 2008
• Windows Server Datacenter 2008
• 2003 Microsoft Windows Server, Enterprise Edition (32 bit x86)
• 2003 Microsoft Windows Server, Standard Edition (32 bit x86)
• Microsoft Windows Server 2003, edizione Web
• Microsoft Windows XP Professional
• Microsoft Windows XP Home Edition
• Microsoft Windows Server 2000
• Microsoft Windows 2000 Advanced Server XNUMX
• Microsoft Windows 2000 Professional Edition Professional
• Microsoft Windows NT Server 4.0 Edizione Standard
• Microsoft Windows NT Server 4.0 Enterprise Edition Enterprise
• Edizione per sviluppatori di Microsoft Windows NT Workstation 4.0

Windows NT 4.0 Service Pack 6, Windows 2000, Windows XP, Windows 2003

Per prima cosa, esamineremo i sistemi operativi Windows 2003 e versioni precedenti. Per attivare e disattivare diversi protocolli, è necessario prima utilizzare Regedt32.exe per individuare la seguente chiave di registro:

• HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSCHANNEL

Successivamente, esamineremo le varie sottochiavi disponibili e dove desideri apportare le modifiche. Fondamentalmente, per abilitare uno dei seguenti, impostare i dati del valore DWORD su 0xffffffff o impostarlo su 0x0 per disabilitare quella particolare sottochiave.

• SCHANNEL Protocolli - Per consentire al sistema di utilizzare i protocolli che non verranno negoziati di default (come TLS 1.1 e TLS 1.2), modifica i dati del valore DWORD del valore DisabledByDefault su 0x0 nelle seguenti chiavi del Registro di sistema sotto la chiave Protocolli:
• Sottochiave SCHANNELCiphers - La chiave di registro Ciphers sotto la chiave SCHANNEL viene utilizzata per controllare l'uso di algoritmi simmetrici come DES e RC4. Le seguenti sono chiavi di registro valide nella chiave Ciphers.
• Sottochiave SCHANNEL / Hash - La chiave di registro Hash sotto la chiave SCHANNEL viene utilizzata per controllare l'uso di algoritmi di hash come SHA-1 e MD5. Le seguenti sono chiavi di registro valide sotto la chiave hash.
• Sottochiave SCHANNEL / KeyExchangeAlgorithms - La chiave di registro KeyExchangeAlgorithms sotto la chiave SCHANNEL viene utilizzata per controllare l'uso di algoritmi di scambio di chiavi come RSA. Le seguenti sono chiavi di registro valide nella chiave KeyExchangeAlgorithms.

Fonte: Base di conoscenza Microsoft

NOTA: Affinché il file Schannel.dll riconosca eventuali modifiche nella chiave di registro SCHANNEL, è necessario riavviare il computer.

Windows 7, Windows Server 2008 e versioni successive

Per i sistemi operativi più recenti, la configurazione del registro è leggermente diversa. Ecco le chiavi con cui vorrai lavorare per attivare o disattivare determinati protocolli. Per abilitare uno dei seguenti, impostare i dati del valore DWORD su dword: 00000001 o impostarlo su dword: 00000000 per disabilitare quella particolare sottochiave.

• [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSchannel]
• "EventLogging" = dword: 00000001
• [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSchannelCiphers]
• [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSchannelCipherSuites]
• [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSchannelHash]
• [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSchannelKeyExchangeAlgoritmi]
• [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSchannelProtocolli]
• [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSchannelProtocolsSSL 2.0]
• [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSchannelProtocolsSSL 2.0Client]
• "DisabledByDefault" = dword: 00000001

Windows Server 2008 supporta i seguenti protocolli:

• SSL 2.0
• SSL 3.0
• TLS 1.0

Windows Server 2008 R2 e Windows 7 supportano i seguenti protocolli:

• SSL 2.0
• SSL 3.0
• TLS 1.0
• TLS 1.1
• TLS 1.2

Fonte: Base di conoscenza Microsoft

Case Study: Abilita TLS 1.2 Cifre in IIS 7.5, Server 2008 R2, Windows 7

Sul blog di Derek Seaman, ha inventato uno script elegante di PowerShell nel 2010 per aiutare con l'abilitazione TLS 1.2 cifrature - quale crittografia AES-256 con hash SHA-256.

Suite di cifratura in Schannel.dll

Se avete domande su Cipher Suites in Schannel.dll o qualsiasi altra cosa relativa Certificati SSL e assicurandoti che i dati dei visitatori del tuo sito web siano sempre al sicuro, non esitare a contattarci. Faremo del nostro meglio per rispondere alle tue domande e indirizzarti nella giusta direzione.