Ako s IIS dosiahnuť známku A/A+ v SSLlabs
22.2.2016 | Jindřich Zechmeister
Pokračujeme v cykle návodov na bezpečné nastavenie webových serverov a pozrieme sa na súčasný webserver Microsoft IIS z Windows Server. Predvolené nastavenia je možné v mnohom zlepšiť, preto čítajte ďalej, ako správne nastaviť IIS vo Windows serveri a dosiahnuť hodnotenie A/A+ v teste SSLlabs.
Posledná aktualizácia: 9. 6. 2025 (IIS 10 na Windows Server 2025)
Východzie nastavenia a kompatibilita
Východzie nastavenia IIS a Windows Serveru sú od verzie 2022 vyhovujúce; v SSLlabs stačí na hodnotenie A a nie sú potrebné ďalšie zásahy. Ak však máte starší Windows Server, hodnotenie bude nižšie vďaka starším protokolom a šifrám. Tabuľka nižšie sumarizuje TLS protokoly povolené v jednotlivých verziách Windows Serveru.
| Verzia Windows Server | SSL 2.0 | SSL 3.0 | TLS 1.0 | TLS 1.1 | TLS 1.2 | TLS 1.3 | Odporúčanie pre dnešné použitie |
|---|---|---|---|---|---|---|---|
| Windows Server 2012 | Zablokovaný | Povolený | Povolený | Povolený | Povolený | Nie | Nepoužívať kvôli zastaranosti a slabému TLS |
| Windows Server 2012 R2 | Zablokovaný | Povolený | Povolený | Povolený | Povolený | Nie | Slabé východzie zabezpečenie – nemožno odporučiť bez úprav |
| Windows Server 2016 | Zablokovaný | Zablokovaný | Povolený | Povolený | Povolený | Nie | Možné použiť s obmedzením (odporúčané zablokovať TLS 1.0/1.1) |
| Windows Server 2019 | Zablokovaný | Zablokovaný | Zablokovaný | Povolený | Povolený | Nie | Odporúčané používať s vypnutým TLS 1.1 |
| Windows Server 2022 | Zablokovaný | Zablokovaný | Zablokovaný | Zablokovaný | Povolený | Povolený | Bezpečné – odporúčané používať |
Platí, že v roku 2025 sa má používať len TLS verzia 1.2 a moderné TLS 1.3 (podpora od WS 2022); staršie verzie vypnite, pretože povedú k oslabeniu bezpečnosti serveru a zníženiu známky v SSLlabs.
Dosiahnutie hodnotenia A
Ak máte nižšie hodnotenie v teste SSLlabs, pravdepodobne máte zapnuté staršie TLS protokoly, čo vám test aj priamo oznámi. Zablokujte tieto slabé protokoly a šifry. K tomu odporúčame nástroj IIS Crypto, s ktorým je to hračka.
Stiahnite si utilitu IIS Crypto a zobrazte si aktuálne používané protokoly a šifry. Jednoduché nastavenie môžete urobiť pomocou tlačidla Best Practices dole v okne programu. Potom je potrebný reštart serveru.
Po reštarte urobte test SSLlabs znova a výsledkom bude krásne A! Teraz je server dobre nastavený.
Dosiahnutie hodnotenia A+
V hodnotení SSLlabs môžete dosiahnuť ešte lepšie hodnotenie A+. Server musí mať - okrem iného - nastavené HTTP Strict Transport Security a používať iba TLS 1.2 alebo 1.3.
Čo SSL Labs vyžaduje pre známku A+?
- Silná TLS konfigurácia (bez slabých protokolov a šifier)
- Podpora moderných protokolov (TLS 1.2 a 1.3)
- Podpora forward secrecy
- Zaplý HSTS header s dostatočne dlhým obdobím platnosti (ideálne minimálne 18 týždňov, tj. 10886400 sekúnd)
Nastavenie HTTP Strict Transport Security nájdete v IIS v detaile website v ponuke HTTP Response Headers (jedna z ikon v zozname). Ponuku otvoríte a v pravom hornom rohu nájdete možnosť pridať novú (Add).
Do položky Name zadajte strict-transport-security a do hodnoty age zadajte max-age=31536000 (čo znamená 1 rok). Pre podporu aj na subdoménach môžete zadať max-age=31536000; includeSubdomains.
V programe IIS Crypto odškrtnite protokoly TLS 1.0 a 1.1; jedinými povolenými protokolmi zostanú TLS 1.2 a 1.3.
Zmeny potvrďte (Apply) a urobte reštart serveru. Teraz už bude v SSLlabs svietiť najvyššie hodnotenie A+.
To je všetko. Nakoniec znova odporúčam pozrieť sa vo výsledku testu SSLlabs na klientov, ktorí sa na vašu doménu (ne)dostanú. Najmä pre e-shopy môže byť príliš agresívne nastavenie problém.
Podpora Windows Serveru zo strany Microsoftu
V júni 2025 je podpora Windows Serveru zhrnutá v tabuľke nižšie. Verzie bez podpory už neodporúčame prevádzkovať, lebo nedostávajú opravy nových zraniteľností.
| Verzia Windows Server | Dátum vydania | Koniec mainstream podpory | Koniec extended podpory | Stav k júnu 2025 |
|---|---|---|---|---|
| Windows Server 2012 | 4. september 2012 | 9. október 2018 | 10. október 2023 | ❌ Podpora ukončená (možná ESU do 2026) |
| Windows Server 2012 R2 | 18. október 2013 | 9. október 2018 | 10. október 2023 | ❌ Podpora ukončená (možná ESU do 2026) |
| Windows Server 2016 | 26. september 2016 | 11. január 2022 | 12. január 2027 | ✅ Extended podpora aktívna |
| Windows Server 2019 | 2. október 2018 | 9. január 2024 | 9. január 2029 | ✅ Extended podpora aktívna |
| Windows Server 2022 | 18. august 2021 | 13. október 2026 | 14. október 2031 | Mainstream podpora aktívna |
