功能簡介
SSL Toolkits 是一套免安裝的綠色軟體,除了協助您檢測網站伺服器的憑證狀態,以及伺服器安全通道設定值值的潛在弱點,更可以協助您完成繁複的 IIS 系統安全通道設定。
主要功能包括:
- 連線至受測網站檢視憑證安裝狀態,並自動分析憑證之內容。
- 連線至受測網站,檢測伺服器安全通道、加密技術、通訊協定、演算法等,並自動分析可能弱點。
- 針對檢測出之弱點提供警示。
- 執行 IIS 伺服器安全通道、加密技術、通訊協定、演算法等參數值之設定。
- 提供 PCI、PCI 3.1 、FIPS 140-2 等產業安全標準樣板,提供伺服器管理者套用。
- 提供最佳建議參數樣板,提供給一般管理者快速套用。
- 可匯出、匯入設定樣板,方便多主機管理者快速套用。
- 提供回復系統預設值功能。
- 提供回復原始設定值功能。
網站SSL憑證檢測
憑證檢測除了確認憑證的有效性,最主要的目的是要確認您的伺服器憑證是否已正確安裝。
當您輸入檢測的網址,並按下執行按鈕,程式將會連線至伺服器下載相對的憑證檔案,並加以分析。
如果無法下載憑證,可能原因包括:
- 您未安裝憑證。
- 您未將憑證繫結到您的網站。
- 您輸入了錯的網址,例如您的憑證只授權 www.example.tw,但是您輸入的是 example.tw
如果是憑證內容錯誤,可能原因:
- 您申請憑證時輸入的資料有誤。
- 憑證簽發單位(CA)給錯檔案,或是簽發時輸入錯的資料。
- 您未將正確的憑證繫結到您的網站。
- 您的舊憑證到期,未將新的憑證繫結到您的網站。
- 您輸入了錯的網址,例如您的憑證只授權 www.example.tw,但是您輸入的是 example.tw
除了憑證的基本資料,您也可以由右側的詳細資料中,了解憑證的詳細資料以及憑證練。
左下角的憑證狀態則是讓您快速了解網站憑證是使用哪一種驗證方式。
第一個圖示帶表您的憑證是否有效,有效的憑證會出現勾勾,如果有問題的憑證,將會顯示驚嘆號。
第二個圖示代表您的憑證是否經過組織或公司資料驗證。OV 憑證和 EV 憑證這個圖示都會打勾。
第三個圖示代表您的憑證是經過最嚴格的延伸驗證(EV)。
如果您的憑證是 EV 憑證,網址列文字顏色也會變成綠色。
網站安全連線檢測
此一功能測試的項目主要是針對管理者可以自行調校的部分,不包含網站程式漏洞、作業系統漏洞的偵測。
輸入您要檢測的網址,按下執行按鈕,即可完成測試。
測試項目包括:
- 主機標頭
- 網站支援之通訊協定
- 網站支援之安全通道加密組合及其順序
每一項檢測項目除了由測的說明會列出檢測結果,並以顏色區分:
- 黑色:一般狀態
- 綠色:高安全性(推薦)
- 橘色:有潛在風險,建議不用。
- 紅色:不安全,建議立即停用
IIS 安全通道技術設定
※ 此一功能會修改到系統登錄檔,非專業人員請勿執行。
※ 雖然可以恢復系統預設值,建議先在測試環境測試過,再行套用到正式環境。
※ 執行前請先完成 Windows 系統更新,程式只是協助您調校伺服器的設定,並不會幫您修補作業系統的漏洞。
Windows 作業系統是一個多功能、多角色、可組態的作業系統。也就是依據不同的需求,經過組態設定即可扮演不同的角色。您可以把他設定成一台前端的 Web Server、扮演 Middleware 的 Application Server、後端的 DB Server...,但是除了角色扮演外,細節的設定,也是根據不同的需求,可以在方便、相容性、安全性等領域的取捨做調整。
由於 Windows 系統預設值,大多都是以相容性為第一考量,因此就會犧牲了部分的安全。如果您今天訴求的是安全,預設值就不是那麼適合,尤其是安全通道與加密技術的部分。
由於設定相當繁雜,部分設定必須修正登錄檔,這支工具就是要簡化您的設定工作,甚至可一鍵完成所有設定。
程式一執行,將會自動帶入目前系統使用的設定。如果您是進階使用者,您可以自行修改設定,並套用。
如果帶入的資料呈現灰色,表示雖然系統沒有設定,但是預設值是啟用的。您可以明確的啟用或關閉該選項。
您除了可以依需要分別啟用或停用 Protocols, Hashes, Cyphers, Key-Exchanges 等所使用的各項技術或演算法,針對 Cipher Suites 部分,還可以利用上下箭頭調整伺服器選用的優先順序。建議將安全等級較高的調到最上面,伺服器會依據 Client 端支援的程度逐步降級,直到沒有可用的為止。
由於伺服器可能因為作業系統更新增加了其他的 Cypher Suites,這時候您也可以自行新增。
為了方便管理者套用設定,SSL Toolkits 也提供了幾種內建的設定樣板,包括 PCI、PCI 3.1、FIPS 140-2 三種產業安全設定樣板,以及最佳建議樣板。您可以依需要選用,或是自行修改。
您也可以將修改好的設定值回出成自訂樣板,作為日後或其他主機使用。
如果您要回復作業系統最原始的設定,也可以選擇回覆系統預設值。
您也可以在修改過程中,隨使選擇[作用中設定值]這個樣板,SSL Toolkits將會為您帶出程式一開始所帶入的設定值。
安全通道樣板說明
PCI,支付卡產業資料安全標準(Payment Card Industry Data Security Standard,簡稱PCI DSS)是支付卡產業為了保護持卡人資料及交易安全,由VISA、美國運通公司、發現金融服務公司、JCB和萬事達國際組織等五家國際信用卡組織所成立的支付卡產業安全標準協會(Payment Card Industry Security Standard Council, 簡稱PCI SSC)所訂定的標準,所有與支付卡處理相關聯的機構,包括商家(Merchants)、服務供應商(Service providers)、收單機構(Acquirer)及發卡機構(Issuer)都必須符合該標準的要求。選用這的標準,即可讓您的網站符合 PCI 1.0 的標準。
PCI安全標準協會為確保PCI DSS之正確及適用性,通常會在新版標準發佈後2至3年進行更新,PCI 3.1 已於 2015 年發布實施, 支付卡產業安全標準協會也宣布 2018 年 6 月 30 將全面停用 PCI 1.0 標準。選用這的標準,即可讓您的網站符合 PCI 3.0 的標準。
美國於1994年通過FIPS 140-1規範,並於2001年修正為FIPS 140-2。
「聯邦資訊處理標準」(Federal Information Processing Standards,簡稱FIPS) 為美國聯邦政府制定除軍事機構外,所有政府機構及政府承包商所引用之標準。美國於1994年通過FIPS 140-1規範,並於2001年修正為FIPS 140-2,目前第三版 FIPS 140-3 草案正在審核中。
依美國聯邦政府規定,各單位採購密碼模組相關產品時(例如:數位簽章模組、加解密器、指紋辨識器以及電子護照等),僅限採購通過 FIPS 140-2 驗證之產品。因此資通安全產品廠商若要銷售密碼模組相關產品至聯邦政府,其產品必須通過 FIPS 140-2 驗證。
台灣地區廠商如果要銷售密碼模組相關產品至美國聯邦政府單位,可透過財團法人電信技術中心進行檢測,以取得產品驗證資格。
這個樣板的主要參考依據包括:
https://github.com/ssllabs/research/wiki/SSL-and-TLS-Deployment-Best-Practiceshttps://support.microsoft.com/en-us/help/245030/how-to-restrict-the-use-of-certain-cryptographic-algorithms-and-protocols-in-schannel.dll另外加上針對個人電腦部分,調整了 secure renegotiation 部分。
注意事項
您目前使用的授權為免費版軟體。免費版軟體不提供電話、Email 等技術支援,使用上若有疑問請透過線上論壇發問。
本軟體所提供的資訊是依據開發當時所認知的現狀,不對相關內容的時效性、正確性、完整性或品質提供任何默示的擔保。因使用本軟體所造成的損害,包括任何不完整或不正確的訊息,本公司不提供任何默示的擔保,使用者須自行承擔一切風險。
授權條款
本文件為 貴用戶與弈飛資訊股份有限公司(以下簡稱「弈飛資訊」)之間所成立之協議,旨在說明 貴用戶使用 SSL Toolkits 軟體之權利。本產品一經執行,視同 貴用戶同意本授權書所列之一切條款。
包含軟體程式(以下簡稱「本軟體」)及其所附相關說明書面資料(以下簡稱「說明文件」)。
本產品受著作權法、國際著作權條約、及相關智慧財產權之法令保護,非經本公司許可或授權,自行複製、散佈或使用者,皆屬侵權行為!
本軟體為免費軟體授權,在不改變軟體及其說明文件完整性之原則下,不須經弈飛資訊同意, 貴用戶可自行使用、重製、散佈本軟體及其說明文件。
貴用戶以獨立、或搭配其他軟、硬體重製、散佈本軟體時,應確保本軟體及其說明文件之完整性與獨立性。
貴用戶不得因提供本軟體而向終端用戶收取任何軟體授權費。
貴用戶不得將本軟體及說明文件之局部或全部,以直接、變形或修飾方式重製或散佈其重製物等任何可能侵害著作權之行為。
貴用戶不得將本軟體為還原、解編、反解譯、格式轉換或以其他方式取得原始碼。
「軟體」係依一般目的所設計並提供之軟體,並非為任何使用者之特殊目的而設計或提供。 貴用戶同意沒有任何「軟體」係完全不含錯誤,若 貴用戶已取得乙份有效授權,則弈飛資訊即保證軟體具有相關文件宣示之功能。
除前項規定外,於相關法律允許之最大範圍內,弈飛資訊就 貴用戶使用或無法使用軟體所生之任何損害 (包括但不限於因營業利潤之損失、營業中斷、營業機密之喪失所生之損害或任何金錢損害) 均不需負擔責任,且縱使事先被告知此等損害發生之可能性亦同。
對用途、品質、銷售性、商業利益與軟體相容或權利存在等問題,本公司不負擔任何責任。對軟體所導致之必然、偶然或特殊之損害、包含利益損失,即使弈飛資訊已知上述損害或第三人請求賠償之可能,弈飛資訊亦不需承擔責任。
倘若 貴用戶違反本合約中之任一條款,不需弈飛資訊之通知,本合約隨即中止,賦予使用者之權利一併喪失, 貴用戶必須即刻刪除含本軟體內容之所有磁性媒體上的資料。