Warning: count(): Parameter must be an array or an object that implements Countable in /www/htdocs/w0096059/fiebig/plugins/system/maximenuckmobile/maximenuckmobile.php on line 97
Tipps+Tricks

    SSLLABS A+ Rating mit IIS 8.5 Anleitung

    Allen Unkenrufen zum Trotze, lässt sich ein A+ Rating von SSL LABS auch mit Server 2012R2 and IIS 8.5 erreichen.

    Dazu wurde wurde ein kostenfreie Zertifikat von Lets Encrypt eingesetzt. Die Cipher Suites auf dem IIS 8.5 mit IISCrypto optimiert.

    Man muss die Best Practices Variante nutzen und auch die "weak" Ciphers in Kauf nehmen

    Wichtig war übrigens hier nur TLS 1.2 zuzulassen, um dem Thema TLS_FALLBACK_SCSV aus dem Weg zugehen.

     

    Zur Absicherung eines Webservers/Exchange-Servers

    Der Trick im IIS 8.5 besteht nun darin einen Reverse Proxy zu installieren und die web.config am Besten mit folgendem Inhalt zur http->https Umleitung füttern bzw anpassen, falls dort schon eigene Einstellungen drin sind. Max-Age enstpricht dabei einem Jahr in Sekunden.

    <?xml version="1.0" encoding="UTF-8"?>
    <configuration>
        <system.webServer>
            <httpProtocol>
                <customHeaders>
                    <add name="Strict-Transport-Security" value="max-age=31536000;includeSubdomains" />
                </customHeaders>
            </httpProtocol>
            <rewrite>
              <rules>
                <rule name="HTTP to HTTPS redirect" stopProcessing="true">
                  <match url="(.*)" />
                  <conditions>
                    <add input="{HTTPS}" pattern="off" ignoreCase="true" />
                  </conditions>
                  <action type="Redirect" url="https://{HTTP_HOST}/{R:1}" redirectType="Permanent" />
                 </rule>
               </rules>
               <outboundRules>
                 <rule name="Add Strict-Transport-Security when HTTPS" enabled="true">
                   <match serverVariable="RESPONSE_Strict_Transport_Security" pattern=".*" />
                   <conditions>
                     <add input="{HTTPS}" pattern="on" ignoreCase="true" />
                   </conditions>
                   <action type="Rewrite" value="max-age=31536000; includeSubDomains; preload" />
                 </rule>
               </outboundRules>
              </rewrite>
        </system.webServer>
    </configuration>

    Wichtige Quellen die mir als Ideenspender dienten:

    https://www.windowspro.de/roland-eich/reverse-web-proxy-windows-server-2016-einrichten

    https://www.iis.net/downloads/microsoft/url-rewrite

    http://www.jppinto.com/2010/02/url-rewrite-2-0-installation/

     

    Maik Fiebig, IT Admin

    © Your Company. All Rights Reserved.