Internetową usługę informacyjną Windows (lub IIS) 7.5 i 8 można skonfigurować tak, aby używała tylko silnych szyfrów. W tym artykule dowiesz się, jak to zrobić.
Wyświetl i edytuj włączone szyfry
- W wierszu polecenia uruchom gpedit.msc, aby uruchomić Edytor lokalnych zasad grupy,
- Pojawi się okno z lokalnym edytorem zasad grupy. W lewym okienku kliknij Konfiguracja komputera >> Szablony administracyjne >> Sieć >> Ustawienia konfiguracji SSL.
- W prawym okienku kliknij dwukrotnie Zamówienie pakietu szyfrów SSL aby edytować zaakceptowane szyfry. Zwróć uwagę, że edytor zaakceptuje maksymalnie 1023 bajty tekstu w łańcuchu szyfrującym - każdy dodatkowy tekst zostanie zignorowany bez ostrzeżenia.
- Zapisz zmiany po zakończeniu, a następnie uruchom ponownie serwer, aby odniosły skutek. Nie zapominaj, że zmiana konfiguracji zestawu szyfrów może spowodować awarię starszych przeglądarek w Twojej witrynie, ponieważ nie będą one w stanie korzystać ze zaktualizowanych silniejszych protokołów.
Wybieranie zestawów silnych szyfrów
Listę wszystkich dostępnych pakietów szyfrów można znaleźć na stronie pod tym linkiem w bibliotece pomocy technicznej firmy Microsoft.
SSL.com zaleca następującą konfigurację zestawu szyfrów. Zostały one wybrane ze względu na szybkość i bezpieczeństwo. Możesz użyć tej listy jako szablonu do konfiguracji, ale Twoje własne potrzeby powinny zawsze mieć pierwszeństwo. Starsze, mniej bezpieczne zestawy szyfrów mogą być wymagane w przypadku starszego oprogramowania (takiego jak starsze przeglądarki). Możesz chcieć dodać obsługę tych starszych przeglądarek, jeśli Twoi klienci nie są aktualizowani.
- TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P256
- TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P384
- TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA_P256
- TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA_P256
- TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P256
- TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P384
- TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P256
- TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P256
- TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P256
- TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 *
- TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 *
* Tylko Windows 8.1 i Windows Server 2012 R2.