O Serviço de Informações da Internet do Windows (ou IIS) 7.5 e 8 pode ser configurado para usar apenas cifras fortes. Este artigo mostra as etapas necessárias para fazer isso.
Ver e editar cifras ativadas
- Em uma linha de comando, execute gpedit.msc para iniciar o Editor de Diretiva de Grupo Local,
- Uma janela aparecerá com o Editor de Política de Grupo Local. No painel esquerdo, clique em Configuração do computador >> Modelos administrativos >> Network >> Definições de configuração SSL.
- No painel direito, clique duas vezes Pedido de pacote de criptografia SSL para editar as cifras aceitas. Observe que o editor só aceitará até 1023 bytes de texto na sequência de criptografia - qualquer texto adicional será desconsiderado sem aviso.
- Salve suas alterações quando terminar e reinicie o servidor para que tenham efeito. Não se esqueça de que alterar a configuração do seu pacote de criptografia pode fazer com que navegadores mais antigos falhem no seu site porque não são capazes de usar os protocolos mais fortes atualizados.
Selecionando Suites de Cifras Fortes
Uma lista de todos os conjuntos de cifras disponíveis pode ser encontrada em este link na biblioteca de suporte da Microsoft.
SSL.com recomenda a seguinte configuração de pacote de criptografia. Eles foram selecionados para velocidade e segurança. Você pode usar esta lista como um modelo para sua configuração, mas suas próprias necessidades devem sempre ter precedência. Conjuntos de criptografia mais antigos e menos seguros podem ser necessários para software legado (como navegadores mais antigos). Você pode desejar adicionar suporte para esses navegadores legados se seus clientes não estiverem atualizados.
- TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P256
- TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P384
- TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA_P256
- TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA_P256
- TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P256
- TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P384
- TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P256
- TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P256
- TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P256
- TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 *
- TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 *
* Apenas Windows 8.1 e Windows Server 2012 R2.