SSL Optimering

Ved en helt standard Microsoft IIS installation, er SSLv3 og SSLv2 slået til som standard. Disse protokoller ses som usikre og bør deaktiveres.

Udover det, er der som standard en række Krypterings algoritmer der er aktiveret som standard som også bør deaktiveres.

Via www.ssllabs.com, kan man teste sit website for hvilken SSL version der benyttes samt om websitet benytter en svag krypteringsalgoritme.

På www.neosec.dk har vi deaktiveret følgende svage algoritmer. RC4 og 3DES 168 bit.

For at slå algoritmerne fra, skal man tilføje nogle nye registrerings nøgler og værdier.

RC4, Triple DES 168 slås fra ved at tilføje nøgler under Ciphers.

Ved Diffie Hellman Key Exhange benyttes som standard 1024 bit. Dette skal ændres til minimum 2048 bit.

De fulde registrerings nøgler er listet længere nede.

SSL 2.0 protokollen styres under Protocols/SSL 2.0 her kan man styre Client og Server indstillingerne.

Det samme gør sig gældende for SSL 3.0.

 

 

 

 

RC4 og 3DES Cipher Deaktivering

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 128/128]
“Enabled”=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 40/128]
“Enabled”=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 56/128]
“Enabled”=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\Triple DES 168]
“Enabled”=dword:00000000

Konfiguration af Diffie-Hellman 2048 bit

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\KeyExchangeAlgorithms\Diffie-Hellman]
“ServerMinKeyBitLength”=dword:00000800

Deaktivering af SSL 3.0

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Client]
“DisabledByDefault”=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Server]
“Enabled”=dword:00000000


Qualsys SSL Labs Test you server

Link til SSLabs

Link til SSLLabs SSL Server Test

HTTPS/SSL Certifikat Monitor

Undgå at dine websider bliver usikre og ikke tilgængelige for dine brugere. Udløbede SSL certifikater giver brugerne af dine websider falsk sikkerhed. Hvis et SSL certifikat udløber vil nogle webbrowsere blokere for adgangen til websiden og derved ikke give brugerne adgang.

Lad derfor Neosec Security Server holde øje med alle dine certifikater centralt. HTTPS/SSL certifikat monitoren kan monitorere interne såvel som eksterne websider der benytter SSL certifikater. Ved installation af Neosec Network Agent i f.eks. Microsoft Azure, kan man monitorere websiderne fra Internettet. Man har dermed mulighed for at få styr på de installerede certifikater på de websider der håndtere Internettet, samt websider der håndteres internt.

Med denne monitor, sikrer Neosec Security Server proaktivt, at dine SSL certifikater på webservere ikke udløber.

Funktioner

  • Monitorere SSL Certifikat udløbs dato
  • Notifikation hvis Certifikat udløbsdato er mindre end det valgte antal dage sat på monitoren.
  • Rapportering af alle monitorerede SSL Certifikater

Certificate Expiry Days

  • Antal dage før SSL Certifikatet udløber

Konfiguration af HTTPS/SSL Certificate Monitor

Angiv webadressen for det website hvor certifikatet er installeret. SSL Certifikat monitoren tjekker udløbs datoen for certifikater. Angiv herefter hvor mange dage før certifikatet udløber at der skal udløses en alarm.

Rapportering

HTTPS/SSL Monitor Certificate Expiry rapport.


  • Device Type : Windows, Network Agent
  • Agent Type : Port
  • Neosec Agent : Ja

Der kan trækkes en rapport som giver giver et godt overblik over alle de monitorerede SSL certifikater. Rapporten kan også benyttes på dashboardet.

Data der gemmes

  • HTTPS/SSL Certificate Expiry Days
  • HTTPS/SSL Certificate Expiry Monitor Response time
  • HTTPS/SSL Certificate Expiry Availability
Sikkerhed

Let’s Encrypt

Let’s Encrypt, er en organisation der tilbyder gratis og automatiseret udstedelse af certifikater til webservere m.m. Organisationen der driver servicen er Internet Security Resesarch Group (ISRG) hvor EFF, Mozilla, Cisco, Akamai med flere støtter op omkring projektet. Deres budskab er at skabe et mere sikkert Internet og bryde tabuet, med at det er for dyrt at få sikkerhed på sit website.

De certifikater der udstedes via Let’s Encrypt er baseret på Domain Validering. Ved oprettelse af certifikatet, skal man kunne identificere sig med at man er ejer af domænet, som certifikatet udstedes til. Dette gør det nemmere at kunne få udstedt certifikatet, da det ikke indebærer validering via personlig henvendelse samt kommunikation via email.

Certifikatets levetid er ikke som normalt, mellem 1 og 5 år, men kun på 90 dage. Læs her på følgende link, hvorfor man har valgt 90 dage. Det gør det noget mere besværligt og kræver noget mere administration af de udstedte certifikater i forhold til normal udstedte certifikater. Dette ved organisationen omkring Let’s Encrypt godt og har derfor sat sig for at kunne automatisere udstedelse af certifikaterne.

Let’s Encrypt har udviklet et API hvor der er udviklet en række klienter som man kan automatisere udstedelse af certifikater. Organisationen er selv kommet med en række klienter til forskellige platforme og med tiden er flere 3 parts leverandører kommet med integrationer til deres API, for at gøre det nemmere at udstede certifikater.

På Windows platformen, er der lavet en klient til PowerShell. Klienten kan installeres via PowerShell Gallery, eller via Chocolatey. Husk at installere PowerShell Gallery eller Chocolatey før man kan installere PowerShell modulet. En anden klient som kan anbefales er letsencrypt-win-simple, denne køres via en kommando prompt.

Jeg har her nævnt lidt plusser og minusser ved denne løsning.

Minusser

  • Begrænset levetid, levetiden er 90 dage kontra 1 – 5 år ved andre certifikater.
  • Man kan ikke udstede wildcard certifkater endnu. Dog kan man udstede SAN hvor man kan have op til 100 FQDN i samme certifikat.

Plusser

  • Det er gratis at få udstedt certifikater til sit website.
  • Da man ikke kan benytte Wildcard, har man muligheden for at benytte SAN, Subject Alternative Names.  domæner. Her kan man tilføje flere Fully Qualified Domain Names til certifikatet, sådan at et certifikat kan håndtere flere websites. op til 100.

Let’s Encrypts hjemmeside.