จตุพร ชูช่วย – Page 9

การแก้ไข Certificate สำหรับ Windows Server 2008 / 2008 R2 / 2012 / 2012 R2

November 10, 2015 18:40

“อยากแก้ Certificate บน Windows Server 2008 ขึ้นไป ทำอย่างไร” เนื่องจาก Windows 2008 R2 ขึ้นไป มีการตั้งค่าคล้ายคลึงกันจึงขอยกตัวอย่างที่เป็น Windows Server 2008 R2 เท่านั้นครับ วิธีการเปลี่ยนให้เข้าไปยัง IIS ในเครื่อง Windows Server 2008 R2 เลือกชื่อเครื่องจากนั้นเลือกหัวข้อ Server Certificates ทางด้านขวาดังนี้ ในกรณีที่เคยมี Certificate เก่าอยู่แล้ว (ต้องการเปลี่ยน Certificate) ให้ดำเนินการ Remove ออกก่อนดังรูป จากนั้นทำการ Restart เครื่อง (ถ้ายังไม่เคยใส่ให้ข้ามขั้นตอนนี้ไปเลย) ในกรณีที่ยังไม่เคยมี Certificate ให้ทำการ Import ดังรูป จากนั้นทำการเลือก Web Site ที่ต้องการเปลี่ยน Certificate ในกรณีที่ยังไม่มี https ให้กด Add ในกรณีมีอยู่แล้วให้กด Edit จากนั้นเลือก SSL certificate ที่ต้องการใช้งาน จากนั้นกดปุ่ม OK เป็นอันเสร็จสิ้นขั้นตอนการเปลี่ยน Certificate ให้ล่าสุดและปลอดภัยครับ

การแก้ไข Certificate สำหรับ Windows Server 2003 R2

November 10, 2015 17:54

“อยากแก้ Certificate บน Windows Server 2003 R2 ทำอย่างไร” วิธีการเปลี่ยนให้เข้าไปยัง IIS ในเครื่อง Windows Server 2003 R2 จากนั้นเลือกเครื่องกด + เข้าไปเรื่อย ๆ ในหัวข้อ Web Sites และเลือก Web Site ที่ใช้งาน คลิกขวาเลือก Properties เข้าไปยังหน้าจัดการ Certificate ดังรูป จากนั้นกด Next เพื่อทำการ Import Certificate เข้าสู่ IIS ในกรณีที่เคยมี Certificate เก่าอยู่แล้วจะต้องทำการ Remove Certificate เก่าออกก่อนดังนี้ (ถ้ายังไม่เคยมีให้ข้ามขั้นตอนนี้ไป) ในกรณีที่ยังไม่เคยมี Certificate ให้ดำเนินการ Import Certificate จากไฟล์ .pfx ดังนี้ เป็นอันเสร็จสิ้นวิธีเปลี่ยน Certificate สำหรับ Windows Server 2003 R2 ครับ

วิธีการตรวจสอบระดับความปลอดภัยของ Certificate

November 10, 2015 06:19

“เราสามารถมั่นใจได้อย่างไรว่า Certificate ที่ใช้อยู่มีความปลอดภัยเพียงพอ” ในกรณีนี้เหมาะกับท่านที่มี Certificate ที่ซื้อมาเอง หรือมีการ Trust กันภายในองค์กร ในกรณีที่เป็น Self Sign Certificate แบบออกเอง ใช้เองไม่จำเป็นต้องเปลี่ยนครับ (เพราะไม่น่าเชื่อถืออยู่แล้วครับ) ใครต้องการเปลี่ยนไปใช้ Public Certificate ต้องตรวจสอบก่อนครับว่าเข้าเงื่อนไขของ Certificate นั้นหรือเปล่า เช่น *.psu.ac.th ถ้าเป็น www.cc.psu.ac.th อันนี้ใช้ไม่ได้ครับ ปกติเราสามารถตรวจสอบง่าย ๆ ได้อยู่แล้วผ่าน Browser ที่ใช้อยู่ ยกตัวอย่าง Chrome สามารถอ่านรายละเอียดเพิ่มเติมได้ที่นี่ครับ https://support.google.com/chrome/answer/95617?hl=th สำหรับ Certificate ที่แนะนำจะเป็น SHA-2 ขึ้นไป ซึ่งไม่แนะนำ SHA-1 เพราะไม่แข็งแรงพอ และจะสิ้นสุดระหว่างในปี 2016-2017 นี้ อ่านเพิ่มเติมได้ที่ https://community.qualys.com/blogs/securitylabs/2014/09/09/sha1-deprecation-what-you-need-to-know ในส่วนของ Windows Server สามารถตรวจสอบโดยการเข้า IIS จากนั้นกดดูในส่วนของ Certificate ในส่วนของ Linux ก็สามารถดูได้โดยกดดู Certificate จาก Browser ครับ Web ไหนยังใช้ SHA-1 รีบเปลี่ยนไปใช้ SHA-2 กันดีกว่าครับ แต่ SHA-2 รองรับ Windows XP SP3 ขึ้นไปเท่านั้นครับ หน่วยงานใดยังใช้ XP อยู่แนะนำให้ Upgrade เป็น SP3 หรือไม่ก็เปลี่ยนไปใช้ Windows 7/8/8.1/10 ก็ได้ครับ สามารถอ่านบทความเกี่ยวกับรวมวิธีลดช่องโหว่ Server เพิ่มเติมได้ที่นี่ครับ http://sysadmin.psu.ac.th/2015/11/10/serversecuritypatch

ตรวจสอบความปลอดภัย web server https โดย Qualys

November 10, 2015 05:19

“จะตรวจสอบได้อย่างไรว่า Web Server ที่ให้บริการ https มีความปลอดภัยเพียงพอ” บทความนี้จะอธิบายวิธีการใช้งานและการอ่านค่าคร่าว ๆ ของ Web Qualys ดังนี้ เข้า Web Site https://www.ssllabs.com/ssltest จะปรากฏหน้าต่างให้ใส่ Domain Name ที่ต้องการตรวจสอบ ถ้าไม่ต้องการให้โชว์ผลขึ้น Score Board ประจานให้ทั่วโลกเห็น(อันนี้ห้ามคนอื่นกดไม่ได้นะครับ) ให้ติก Do not show the results on the boards จากนั้นกด Submit จากนั้นระบบจะทำการตรวจสอบประมาณ 1-2 นาที โดย Web Site ที่สามารถตรวจสอบได้ต้องสามารถเข้าถึงจากภายนอกเท่านั้น จากนั้นจะปรากฎหน้าผลลัพธ์ในรูปแบบ Overall Rating ดังนี้ ในส่วนแรกคือ Summary อธิบายเป็นส่วน ๆ ได้ดังนี้ Overall Rating : จะเป็นตัวบอกคร่าว ๆ ว่า Web นี้มีความปลอดภัย Grade อะไรซึ่งจากรูปได้ F แสดงว่าไม่ปลอดภัยอย่างมาก จะอธิบายเพิ่มเติมโดยแยกเป็น 4 ส่วนคือ Certificate – ระดับความแข็งแรงของใบประกาศ (ยากในการปลอมหรือในการถอดรหัสข้อมูล) Protocol Support – ระดับความปลอดภัยของ Protocol ที่ให้บริการ SSL/TLS Key Exchange – ระดับความปลอดภัยของการแลกเปลี่ยน Key Cipher Strength – ระดับความแข็งแรงของ Cipher ซึ่งเป็น Algorithm ที่ใช้ในการเข้ารหัส ในส่วนนี้จะอธิบายลึกลงไปว่ามีผลทำให้เกิดช่องโหว่ร้ายแรงอะไรบ้าง โดยจะบอกว่าเกิดจากอะไร เช่น จากรูป Server รองรับ SSL Version 2 ซึ่งยกเลิกการใช้งานไปแล้วเพราะไม่ปลอดภัย, เกิดช่องโหว่ FREAK, POODLE TLS โดยเราสามารถอ่านรายละเอียดเพิ่มเติมโดยการกด More Info จะอธิบายรายละเอียดเพิ่มเติม แต่ถือว่าเป็นระดับที่ยังไม่ร้ายแรง แต่แนะนำให้แก้ไข เช่น จากรูปแนะนำให้เลิกใช้ SSL Version 3 ส่วน TLS ควรใช้ Version ล่าสุดซึ่งเป็น TLS 1.2 โดยเราสามารถเลื่อนมาดูรายละเอียดเพิ่มเติมได้ ซึ่งจะมีบอกในส่วน Handshake Simulation ซึ่งจะตรวจสอบให้คร่าว ๆ ว่า Browser ใดไม่รองรับบ้าง หวังว่าจะเป็นเครื่องมือที่ช่วยยกระดับความปลอดภัยของ Web Server ที่รองรับการใช้งานแบบเข้ารหัสได้เป็นอย่างดีครับ สามารถอ่านวิธีแก้ไขช่องโหว่เพิ่มเติมได้ที่นี่ครับ http://sysadmin.psu.ac.th/2015/11/10/serversecuritypatch Reference : https://www.ssllabs.com, Qualys SSL LABS

รวมวิธีลดช่องโหว่ Server

November 10, 2015 05:18

“บทความนี้เป็นบทความเกี่ยวกับวิธีการปิดช่องโหว่ รวมถึงวิธีการ Monitor ตรวจสอบช่องโหว่ด้วยโปรแกรมต่าง ๆ ครับ” วิธีการตรวจสอบช่องโหว่ Blog 1 : ตรวจสอบความปลอดภัย web server https โดย Qualys Blog 2 : วิธีการตรวจสอบระดับความปลอดภัยของ Certificate วิธีการแก้ไข Certificate เพื่อให้มีความปลอดภัยมากขึ้น Blog 1 : Windows Server 2003 R2 Blog 2 : Windows Server 2008 / 2008 R2 / 2012 / 2012 R2 Blog 3 : Apache Web Server (Ubuntu 14.04 LTS) Blog 4 : Lighttpd Web Server (Ubuntu 14.04 LTS) วิธีการปิดช่องโหว่ Logjam,Freak,Poodle,Beast Blog 1 : Windows Server 2003 R2 Blog 2 : Windows Server 2008/2008 R2/2012/2012 R2 Blog 3 : Apache Web Server (Ubuntu 14.04 LTS) Blog 4 : Lighttpd Web Server (Ubuntu 14.04 LTS) อ่านวิธีแก้ไขเพิ่มเติมได้ที่ : http://disablessl3.com/