Att ställa in din server korrekt på Windows är viktigt om du vill se till att du faktiskt använder krypteringsalgoritmerna för att skydda data som går från klienten (webbläsare) till servern och tillbaka igen.
På den här sidan har vi grundläggande information om hur du väljer rätt Cipher Suite som ska användas med din Windows Server samt hur du ställer in den. Det är en bra idé att bara aktivera de specifika du ska använda och att inaktivera resten. Observera också att SSL 2.0 och andra kanske inte är aktiverade som standard.
Förstå Cipher Suites och Schannel.dll
Innan du kommer till vad du behöver göra för att ändra vilka Cipher-sviter som används och vilka kryptografiska algoritmer och protokoll som används ska vi kort förklara Schannel.dll-filen, inklusive hur den använder Cipher Suites för att bestämma vilka säkerhetsprotokoll som ska användas . Detta är inställt i registret för Windows och är inte svårt att göra. Instruktionerna varierar lite beroende på vilket operativsystem och vilken webbserver du använder.
Vad är Schannel.dll?
Enkelt uttryckt är Schannel.dll ett bibliotek som är det viktigaste Microsoft TLS/ SSL-säkerhetsleverantör. Det står för Secure Channel och används av Microsoft webbservrar, inklusive Windows Server 2003, Windows Server 2008, Windows 7, Windows Server 2008 R2 och andra, inklusive äldre som Windows XP och Windows NT till och med. Vi har mer om skillnaderna nedan, men vet för närvarande bara att Schannel.dll används för att bestämma vilket protokoll som ska användas.
Vad är en Cipher Suite?
En chiffer-svit är inget annat än en uppsättning kryptografiska algoritmer. Schannel-protokoll använder de olika algoritmerna från en viss chiffer för att skapa nycklar och kryptera information. I allmänhet anger en chiffer-svit en algoritm för var och en av följande tre uppgifter:
- Nyckelutbyte - Dessa algoritmer är asymmetriska (public key algoritmer) och fungerar bra med små mängder data. De används för att skydda information som krävs för att skapa delade nycklar för säkra transaktioner.
- Bulk kryptering - Denna uppgift krypterar meddelanden som utbyts mellan klienter och servrar. Dessa algoritmer är symmetriska och tenderar att fungera mycket bra, även med stora mängder data överförs.
- Autentisering av meddelanden - Dessa algoritmer genererar meddelande hash och signaturer som säkerställer integritet av ett meddelande.
Allt ovanstående använder ALG_ID - en datatyp som anger en algoritmidentifierare - för att låta operativsystemet veta vilken Cipher Suite som ska användas. Du kan se en lista över alla tillgängliga Cipher Suites som är tillgängliga för Schannel.dll på Microsofts webbplats här..
Ändra Cipher Suites i Schannel.dll
Nu när du vet lite mer om chiffersviter och Schannel.dll är det dags att gå igenom hur du ändrar vilka kryptografiska algoritmer och protokoll som faktiskt används. Det är viktigt att notera att även om du ändrar vad Schannel.dll använder måste programvaran du använder också stödja protokollen. Här är en lista över de olika Windows-operativsystem som du kan använda som server.
- Windows Server Standard 2012
- Windows Server Datacenter 2012
- Windows Server Enterprise 2008 R2
- Windows Server Standard 2008 R2
- Windows Server Datacenter 2008 R2
- 7 Windows Enterprise
- Windows 7 Professional
- Windows Server Enterprise 2008
- Windows Server Standard 2008
- Windows Server Datacenter 2008
- 2003 Microsoft Windows Server, Enterprise Edition (32-bitars x86)
- Microsoft Windows Server 2003, Standard Edition (32-bitars x86)
- Microsoft Windows Server 2003, webbutgåva
- Microsoft Windows XP Professional
- Microsoft Windows XP Home Edition
- Microsoft Windows Server 2000
- Microsoft Windows 2000 Advanced Server
- Microsoft Windows 2000 Professional Edition
- Microsoft Windows NT Server 4.0 Standardutgåva
- Microsoft Windows NT Server 4.0 Enterprise Edition
- Microsoft Windows NT Workstation 4.0 Developer Edition
Windows NT 4.0 Service Pack 6, Windows 2000, Windows XP, Windows 2003
Först ska vi titta på Windows 2003-operativsystem och tidigare. För att slå på och av olika protokoll måste du först använda Regedt32.exe för att hitta följande registernyckel:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSCHANNEL
Därefter ska vi gå igenom de olika undernycklarna som är tillgängliga - och var du vill göra dina ändringar. I grund och botten, för att aktivera något av nedanstående, ställ in dess DWORD-värddata till 0xffffffff eller ställ in den på 0x0 för att inaktivera den specifika undernyckeln.
- SCHANNEL Protokoll - För att göra det möjligt för systemet att använda protokollen som inte kommer att förhandlas fram som standard (t.ex. TLS 1.1 och TLS 1.2), ändra DWORD-värdedata för DisabledByDefault-värdet till 0x0 i följande registernycklar under protokollnyckeln:
- SCHANNELCiphers undernyckel - Ciphers-registernyckeln under SCHANNEL-nyckeln används för att kontrollera användningen av symmetriska algoritmer som DES och RC4. Följande är giltiga registernycklar under Ciphers-nyckeln.
- SCHANNEL / Hashes undernyckel - Registreringsnyckeln Hashes under SCHANNEL-nyckeln används för att styra användningen av hashingalgoritmer som SHA-1 och MD5. Följande är giltiga registernycklar under Hashes-nyckeln.
- SCHANNEL / KeyExchangeAlgorithms undernyckel - Registernyckeln KeyExchangeAlgorithms under SCHANNEL-nyckeln används för att styra användningen av nyckelutbytesalgoritmer som RSA. Följande är giltiga registernycklar under KeyExchangeAlgorithms-nyckeln.
Källa: Microsoft Knowledge Base
OBS! För att filen Schannel.dll ska känna igen eventuella ändringar under registernyckeln SCHANNEL måste du starta om datorn.
Windows 7, Windows Server 2008 och senare
För nyare operativsystem är registret lite annorlunda. Här är tangenterna du vill arbeta med för att aktivera eller inaktivera vissa protokoll. För att aktivera något av nedanstående, ställ in dess DWORD-värddata till dword: 00000001 eller ställ in det på dword: 00000000 för att inaktivera just den undernyckeln.
- [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSchannel]
- “EventLogging” = dword: 00000001
- [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSchannelCiphers]
- [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSchannelCipherSuites]
- [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSchannelHashes]
- [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSchannelKeyExchangeAlgorithms]
- [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSchannelProtocols]
- [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSchannelProtocolsSSL 2.0]
- [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSchannelProtocolsSSL 2.0Client]
- “DisabledByDefault” = dword: 00000001
Windows Server 2008 stöder följande protokoll:
- SSL 2.0
- SSL 3.0
- TLS 1.0
Windows Server 2008 R2 och Windows 7 stöder följande protokoll:
- SSL 2.0
- SSL 3.0
- TLS 1.0
- TLS 1.1
- TLS 1.2
Källa: Microsoft Knowledge Base
Fallstudie: Aktivera TLS 1.2 Koder i IIS 7.5, Server 2008 R2, Windows 7
Över på Derek Seamans blogg kom han på ett snyggt PowerShell-skript tillbaka 2010 för att hjälpa till med att aktivera TLS 1.2 chiffer - vilken AES-256-kryptering med SHA-256-hash.
Cipher Suites i Schannel.dll
Om du har några frågor om Cipher Suites i Schannel.dll eller något annat relaterat till SSL-certifikat och se till att dina webbplatsbesökares data alltid är säkra, tveka inte att kontakta oss. Vi gör vårt bästa för att svara på dina frågor och peka dig i rätt riktning.