SSL Perfect Forward Secrecy تنظیم TLS 1.2 برای IIS

SSL Perfect Forward Secrecy

2.6k

در این مطلب به نقد و بررسی موضوع SSL Perfect Forward Secrecy و تنظیم TLS 1.2 برای IIS، خواهیم پرداخت،‌پس تا آخر این مقاله، همراه زاگریو باشید.

SSL Perfect Forward Secrecy تنظیم TLS 1.2 برای IIS

با استفاده از اسکریپت زیر می توانید بر روی IIS نسخه های ۷٫۵/۸٫۰/۸٫۵/۱۰ و سیستم عامل های ویندوز ۲۰۰۸R2/2012/2012R2/2016 تنظیمات لازم جهت پشتیبانی از TLS1.1 و TLS1.2 را با استفاده از پروتکل SSL Perfect Forward Secrecy اعمال نمائید.

همچنین استفاده از این اسکریپت به شما این امکان را می دهد تا امنیت ارتباطات SSL خود را یا غیر فعاال کردن SSL2 و SSL3 افزایش دهید و تمامی الگوریتم های رمزنگاری (Cipher Suites) ضعیف را غیر فعال کنید. این اسکریپت بر مبنای قوانین بهترین روش‌های متداول امنیتی پیاده سازی شده است.

توجه داشته باشید که Perfect Forward Secrecy که بطور خلاصه از آن بعنوان PFS یاد می‌شود، تنها روش جلوگیری از کدگشایی اطلاعات شما توسط هکر ها و سازمان اطلاعاتی بعد از Traffic Shaping است. همیشه در ذهن داشته باشید که کدگشایی گواهینامه‌های امنیتی حال حاضر تا چند سال آتی و با گسترش سرعت سیستم های کامپیوتری ممکن خواهد بود.

به عنوان مصرف کننده سیستم های IIS سیستم شما از نظر مشکل Heartbleed که در OpenSSL بوجود آمده بود در امان است اما همه ما امیدواریم که schannel.dll مایکروسافت دارای باگ نباشد. با استفاده از PFS حتی اگر Private Key شما در اختیار یک سازمان اطلاعاتی قرار بگیرد و یا حتی لو برود، امکان کدگشایی ترافیک SSL Perfect Forward Secrecy شما وجود ندارد!

سرقت کلید خصوصی توسط باگ Heartbleed بسیار راحت است، حتی هم اکنون وب سرورهای Apache زیادی در دنیای اینترنت وجود دارد که دارای این مشکل هستند. تنها آپاچی نسخه ۲٫۴ به همراه OpenSSL نسخه ۱٫۰٫۱x بصورت کامل از PFS پشتیبانی می کند. تا به امروز تقریبا تمامی نسخ پایدار توزیع های لینوکس بصورت پیشفرض دارای نسخه ۲٫۲ آپاچی می باشند و به روزرسانی به نسخه ۲٫۴ بسیار دشوار است اما غیر ممکن نیست.

در تاریخ ۲۵ May 2014، دبیان الگوریتیم های رمزنگاری ECDH را با انتشار apache2_2.2.22-13+deb7u4_changelog برای نسخه ۲٫۲ آپاچی امکان پذیر کرد و هم اکنون امکان استفاده از PFS را برای آن فراهم کرده است. اگر به دنبال اعمال تنظیمات امن SSL Perfect Forward Secrecy برای Apache خود هستند لطفا به Mozilla SSL Configuration Generator مراجعه کنید. فعال کردن سایتهای SSL بدون فعال کردن PFS یک ریسک امنیتی حیاتی به حساب می‌آید.

 

پس از اجرای اسکریپ زیر و اعمال تغییرات در رجیستری، با استفاده از ابزار بی نظیر https://www.ssllabs.com/ssltest به یک خلاصه مانند تصویر زیر خواهید رسید:

SSL Perfect Forward Secrecy

 

توجه داشته باشید که ویندوز XP با IE6 از PFS پشتیبانی نمی کند و در صورتی که تمایل دارید این دسته از کاربران با IE8 بتوانند سایت شما را بازدید کنند می بایست ۳DES را فعال نگه دارید، این اسکریپت RC4 را غیر فعال خواهد کرد.

SSL Perfect Forward Secrecy

 

اسکریپت پاورشل جهت فعال کردن SSL Perfect Forward Secrecy و TLS 1.2 بر روی سرورهای IIS:

بدون دیدگاه

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *