Fournir une meilleure suite de chiffrement est gratuit et assez facile à installer. Suivez simplement ce guide étape par étape pour protéger vos utilisateurs et votre serveur. Vous apprendrez également à tester les services que vous utilisez pour vérifier leur sécurité.
Pourquoi vos suites de chiffrement sont-elles importantes?
Microsoft IIS est vraiment génial. C’est facile à installer et à entretenir. Son interface graphique conviviale facilite grandement la configuration. Il fonctionne sous Windows. IIS a vraiment beaucoup à faire, mais tombe vraiment à plat quand il s'agit de défauts de sécurité.
L’inconvénient majeur est que toutes les options de chiffrement ne sont pas créées de la même manière. Certains utilisent de très bons algorithmes de cryptage (ECDH), d'autres sont moins géniaux (RSA) et d'autres sont tout simplement mal avisés (DES). Un navigateur peut se connecter à un serveur en utilisant l’une des options fournies par le serveur. Si votre site propose des options ECDH, mais également des options DES, votre serveur se connectera sur l'une ou l'autre. Le simple fait de proposer ces mauvaises options de cryptage rend votre site, votre serveur et vos utilisateurs potentiellement vulnérables. Malheureusement, par défaut, IIS fournit de très mauvaises options. Pas catastrophique, mais certainement pas bon.
Comment voir où vous en êtes
Avant de commencer, vous voudrez peut-être savoir où se trouve votre site. Heureusement, les gens de Qualys nous fournissent gratuitement des laboratoires SSL. Si vous allez sur https://www.ssllabs.com/ssltest/, vous pouvez voir exactement comment votre serveur répond aux demandes HTTPS. Vous pouvez également voir comment les services que vous utilisez régulièrement s'empilent.
Mise à jour de votre suite de chiffrement
Nous avons couvert l’arrière-plan, maintenant nous nous salissons les mains. La mise à jour de la suite d’options fournie par votre serveur Windows n’est pas nécessairement simple, mais elle n’est pas compliquée non plus.
Vous pouvez parcourir la liste et ajouter ou supprimer du contenu de votre coeur avec une seule restriction; la liste ne peut pas contenir plus de 1 023 caractères. Cela est particulièrement gênant parce que les suites de chiffrement ont des noms longs, tels que «TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P384», choisissez donc avec soin. Je recommande d'utiliser la liste établie par Steve Gibson sur GRC.com: https://www.grc.com/miscfiles/SChannel_Cipher_Suites.txt.
Une fois que vous avez sélectionné votre liste, vous devez la formater pour l’utiliser. Comme la liste d'origine, votre nouveau nom doit être constitué d'une chaîne de caractères ininterrompue, chaque chiffre étant séparé par une virgule. Copiez votre texte formaté et collez-le dans le champ Suites de chiffrement SSL, puis cliquez sur OK. Enfin, pour que le changement colle, vous devez redémarrer.
Une fois votre serveur opérationnel, passez à SSL Labs et testez-le. Si tout se passe bien, les résultats devraient vous donner la note A.
Quelle que soit la méthode utilisée, la mise à jour de vos suites de chiffrement constitue un moyen simple d'améliorer la sécurité pour vous et vos utilisateurs finaux.