Hallo Freunde der Sonne,

hier eine Zusammenfassung der Änderungen für einen sicheren und hübschen Internetauftritt mit IIS.

Microsoft IIS – Optimierung Verschlüsselung

Quellen:

• Disabling DiffieHellman Keys – https://www3.trustwave.com/support/kb/Article.aspx?id=14784
• CipherSuites – https://msdn.microsoft.com/en-us/library/windows/desktop/aa374757%28v=vs.85%29.aspx
• Disable SSLv3, RC4 – https://samrueby.com/2015/06/08/how-to-disable-sslv3-and-rc4-ciphers-in-iis/

Prüfstelle: https://www.ssllabs.com/ssltest/

Auf Windows Servern die folgende DIenste ausführen und direkt am Internet freigegeben sind sollten folgende Werte zwecks Qualitätssteigerung bei der Verschlüsselung eingestellt werden.

Abschaltung alter Mechanismen

Hierzu müssen in der Registry folgende Werte im System hinterlegt werden:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 128/128]
"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 40/128]
"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 56/127]
"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\KeyExchangeAlgorithms\Diffie-Hellman]
"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Client]
"DisabledByDefault"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Client]
"DisabledByDefault"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Server]
"Enabled"=dword:00000000

Oder hier eine ZIP-Datei mit der Reg-Datei um die Einstellungen schnell zu importieren:
SSL-Optimierung.reg

Konfiguration der Verschlüsselungsarten

Diese können per Gruppenrichtlinie konfiguriert werden, im einfachsten Falle wird die lokale Richtlinie hierfür konfiguriert.

Computer\Administrative Vorlagen\Netzwerk\SSL-Konfigurationseinstellungen\Reihenfolge der SSL-Verschlüsselungssammlungen

Abbildung 1: SSL-Konfigurationeinstellungen

Folgende Werte empfehlen sich für einen maximalen Grad an Sicherheit:

TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P256,
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P384,
TLS_RSA_WITH_AES_256_GCM_SHA384,
TLS_RSA_WITH_AES_256_CBC_SHA256,
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P384,
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384_P384

• kein DHE (Diffie-Hellman – nur 1024Bit unter Microsoft)
• kein RC4
• kein MD5/SHA1
• kein AES128