Erreichen Sie in SSLlabs die Note A/A+ mit IIS

10.06.2016 | Petra Alm

Wir bringen Ihnen eine weitere Anleitung für eine sichere Einstellung von Webservern – diesmal werden wir uns dem aktuellen Server Microsoft IIS 8.5 von Windows Servers 2012 widmen. Die Voreinstellung kann in vielen Hinsichten verbessert werden, lesen Sie also weiter um zu erfahren, wie IIS auf dem Windows Server richtig eingestellt wird und wie Sie in dem Test von SSLlabs die Note A/A+ erreichen können.

Voreinstellung und Kompatibilität

In der Voreinstellung von SSL im IIS werden Sie automatisch mit der Note B bewertet. Das ist natürlich überhaupt nicht schlimm, aber bestimmt möchten Sie ein noch besseres Ergebnis erzielen. Bei diesem Default bietet es sich an, die RC4 Verschlüsselung zu deaktivieren. Dieser Schritt wird Sie zwar um Besucher mit Internet Explorer 6 bringen, aber da es sich um eine geringe Anzahl handelt, wäre ein Kompromiss fehl am Platz, denn die Verschlüsselung wird als gefährlich betrachtet.

Die Note B

Nach dem Ausschalten von RC4 Verschlüsselungen ändert sich die Note auf A. Obwohl Sie nun Ihren Server für einen sicheren halten können, eröffnen sich noch ein paar Möglichkeiten, wie die Bewertung, Absicherung und Kompatibilität verbessert werden können.

In dem SSLlabs Test können Sie eine Simulation der Serververbindung mit verschiedenen Clients sehen. In der Übersicht fehlt „IE 8 / XP“, was bedeutet, dass sich der Internet Explorer auf Windows XP nicht mit dem Web verbinden kann. Dieses Problem wird von SNI verursacht und kann ganz einfach behoben werden – wir brauchen nur das SSL Zertifikat auf dem Server als Default einzustellen. Nach dieser einfachen Lösung, die wir in dem nächsten Absatz genauer beschreiben, können sich auf dem Server auch Besucher mit IE 8 auf Windows XP verbinden.

SSL Web als Default

Die oben vorgestellte Einstellung führen Sie in Bindings durch – blockieren Sie die Funktion SNI (durch Anklicken des Häckchens), den Zentralspeicher und geben Sie keinen Hostname ein. Wählen Sie aus dem Angebot ein Default-Zertifikat aus und bestätigen Sie den Dialog. In der rechten oberen Ecke des IIS-Fensters verschwindet die Warnung, die auf das Fehlen der voreingestellten SSL-Webseite hingewiesen hat. Das Problem mit der Verbindung von Windows XP ist nun gelöst.

Erreichen Sie die Note A

Für die Erhöhung des Ratings von B auf A brauchen Sie nur in dem Utility IIS Crypto die Einstellung FIPS 140-2 zu verwenden und die drei Verschlüsselungen zu deaktivieren (das Häckchen löschen).

TLS_DHE_RSA_WITH_AES_256_GCM_SHA384

TLS_DHE_RSA_WITH_AES_128_GCM_SHA256

TLS_RSA_WITH_RC4_128_SHA

IIS Crypto

Klicken Sie Apply an, starten Sie den Server neu und wiederholen Sie den Test. Als Ergebnis erhalten Sie die Note A.

Die Note A

Das bestmögliche Ergebnis

Die beste Note, die Sie in SSLlabs bekommen können, ist A+. Um diese Bewertung zu erreichen, müssen Sie auf Ihrem Server HTTP Strict Transport Security einstellen und nur TLS 1.2 verwenden.

Hinweis: Falls Ihr Server nur das neueste TLS Protokoll in der Version 1.2 verwenden wird, werden ältere Browser sich zu ihm nicht verbinden können. Genauer gesagt hätte diese Maßnahme zur Folge, dass Mobile Clients mit der Android-Version niedriger als 4.4 Ihr Web nicht besuchen könnten. Was Computer betrifft, würden Schwierigkeiten bei der Kommunikation mit Internet Explorer bis Version 11 auftauchen, Firefox Versionen unter 27 und Chrome Versionen unter 30. Erwägen Sie also bitte die möglichen negativen Konsequenzen dieser Entscheidung.

Die Einstellung von HTTP Strict Transport Security finden Sie im IIS im Website-Detail, in dem Angebot HTTP Response Headers (eins der Symbole in der Liste). Öffnen Sie das Angebot und in der rechten oberen Ecke suchen Sie die Möglichkeit "eine neue hinzufügen" (add) aus.

Unter Name schreiben Sie strict-transport-security und in den Wert age geben Sie max-age=31536000 ein (was 1 Jahr bedeutet). Für die Unterstützung auch von Subdomains können Sie Folgendes einschreiben: max-age=31536000; includeSubdomains

In dem Programm IIS Crypto deaktivieren Sie TLS 1.0 und 1.1, somit wird als das einzige erlaubte Protokoll TLS 1.2. bleiben.

Bestätigen Sie die Veränderungen (durch Apply) und führen Sie einen Neustart des Servers durch. Nun wird in SSLlabs das höchste mögliche Rating A+ angezeigt.

Die Note A+

Als letzten Schritt empfehlen wir Ihnen, sich in dem Ergebnis des Testes noch einmal die Clients anzuschauen, die Ihre Domain (nicht) werden besuchen können. Vor allem für E-Shops kann eine zu aggressive Einstellung ein Problem darstellen.


Petra Alm
Spezialistin für TLS-Zertifikate
DigiCert TLS/SSL Professional
e-mail: info(at)sslmarket.de