你经营着一个令人尊敬的网站，你的用户可以信任。对吗？你可能要仔细检查一下。如果您的站点运行在Microsoft Internet信息服务(IIS)上，您可能会大吃一惊。当您的用户尝试通过安全连接(SSL/TLS)连接到您的服务器时，您可能没有为他们提供安全选项。

提供更好的密码套件是免费的，并且非常容易设置。只需按照此分步指南进行操作，即可保护您的用户和服务器。您还将学习如何测试您使用的服务，以了解它们到底有多安全。

为什么您的密码套件很重要

微软的IIS非常棒。它的设置和维护都很容易。它有一个用户友好的图形界面，使配置变得轻而易举。它在Windows上运行。IIS确实有很大的优势，但是当涉及到安全缺省时，IIS确实不堪重负。

下面是安全连接的工作原理。您的浏览器启动到站点的安全连接。这最容易由以“HTTPS：//”开头的URL标识。Firefox提供了一个小锁图标来进一步说明这一点。Chrome、Internet Explorer和Safari都有类似的方法让你知道你的连接是加密的。您所连接的服务器将回复您的浏览器，其中包含一个加密选项列表，可供您选择，从首选到最不首选的顺序依次为：加密选项列表、加密选项列表和加密选项列表。您的浏览器在列表中向下移动，直到找到它喜欢的加密选项，我们就可以关闭并运行了。其余的，就像他们说的，是数学。(没人这么说。)

其中的致命缺陷是不是所有的加密选项都是平等创建的。有些使用非常好的加密算法(ECDH)，有些不太好(RSA)，有些只是不明智(DES)。浏览器可以使用服务器提供的任何选项连接到服务器。如果您的站点提供了一些ECDH选项和一些DES选项，则您的服务器将连接到这两个选项中的任何一个。提供这些糟糕的加密选项这一简单行为就会使您的站点、您的服务器和您的用户受到潜在的攻击。不幸的是，默认情况下，IIS提供了一些相当糟糕的选项。不是灾难性的，但绝对不是好事。

如何看清自己的立场

在我们开始之前，您可能想知道您的站点所处的位置。值得庆幸的是，Qualys的好心人免费为我们所有人提供SSL实验室。如果您访问https://www.ssllabs.com/ssltest/，，您可以确切地看到您的服务器是如何响应HTTPS请求的。您还可以查看您定期使用的服务是如何堆叠起来的。

这里需要注意的一点是。一个网站没有获得A级并不意味着运营这些网站的人做得不好。SSL实验室抨击RC4是一种弱加密算法，尽管目前还没有针对它的已知攻击。诚然，与RSA或ECDH相比，它对暴力尝试的抵抗力较弱，但也不一定是坏事。出于与某些浏览器兼容的需要，站点可能会提供RC4连接选项，因此使用站点排名作为准则，而不是铁板钉钉的安全性声明或缺乏安全性。

更新您的密码套件

我们已经谈过了背景情况，现在让我们动手干吧。更新Windows服务器提供的选项套件不一定很简单，但也绝对不难。

要启动，请按Windows键+R调出“运行”对话框。键入“gpedit.msc”，然后单击“确定”以启动组策略编辑器。这就是我们要做改变的地方。

在左侧，展开“计算机配置”、“管理模板”、“网络”，然后单击“SSL配置设置”。

在右侧，双击SSL Cipher Suite Order(SSL密码套件顺序)。

默认情况下，“未配置”按钮处于选中状态。单击“启用”按钮以编辑您的服务器的密码套件。

单击按钮后，SSL密码套件字段将填充文本。如果要查看服务器当前提供的密码套件，请从SSL密码套件字段复制文本并将其粘贴到记事本中。文本将放在一个完整的长字符串中。每个加密选项用逗号分隔。将每个选项放在单独的行会使列表更容易阅读。

您可以浏览列表并添加或删除您喜欢的内容，但有一个限制；列表不能超过1，023个字符。这特别烦人，因为密码套件有像“TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P384”，这样的长名称，所以要慎重选择。我推荐使用史蒂夫·吉布森(Steve Gibson)在GRC.com上整理的名单：https://www.grc.com/miscfiles/SChannel_Cipher_Suites.txt.

一旦你整理好了你的清单，你就必须格式化它以供使用。与原来的列表一样，您的新列表需要是一个连续的字符串，每个密码用逗号分隔。复制格式化文本并将其粘贴到SSL密码套件字段中，然后单击确定。最后，要使更改生效，您必须重新启动。

在您的服务器备份并运行后，前往SSL实验室进行测试。如果一切顺利，结果应该给你A级。

如果您想要更直观一点的东西，您可以安装Nartac(https://www.nartac.com/Products/IISCrypto/Default.aspx).的IIS Crypto。此应用程序将允许您进行与上述步骤相同的更改。它还允许您根据各种条件启用或禁用密码，因此您不必手动检查它们。

无论您如何操作，更新您的密码套件都是提高您和您的最终用户安全性的一种简单方法。