É “seguro” usar o IIS para HTTPS?

1

Estou tentando configurar o HTTPS no IIS (Windows Server 2008 R2 e Windows Server 2012) da forma mais segura possível. Para mitigar ataques como BEAST e fraqueza de RC4 , ao tentar usar o ECDHE sempre que possível, eu encontrei: link

Então, estou apenas imaginando se é seguro usar o IIS diretamente para HTTPS em sistemas corporativos? Ou é melhor usar outra coisa como um proxy SSL?

    
por TN. 19.03.2014 / 10:02

1 resposta

0

sim. pode ser seguro, embora seja tão seguro quanto o ambiente e as políticas permitirem.

Eu vi o IIS ser usado como a linha de frente em grandes implantações corporativas, onde a segurança era / é crítica e havia auditorias regulares de SSL. Não foi necessário muito esforço para desativar as cifras fracas e realizar outras atenuações, mas isso exige a modificação das configurações padrão prontas para uso.

Mesmo nesse cenário, os servidores IIS de back-end não foram expostos diretamente, mas passaram por proxies do IIS (reescrita de URL / ARR) em uma zona DMZ protegida por dois firewalls e outros dispositivos de segurança antes de atingir os servidores de backend com limitações severas o tráfego foi permitido. proxies são bons.

Dito isso, há algo a ser dito para que o seu proxy esteja em uma pilha de tecnologia diferente da do seu servidor de back-end. quanto menos homogêneo for o seu ambiente, menor será a probabilidade de um único exploit conceder acesso completo ao seu back-end.

    
por 30.05.2014 / 06:57