Allen Unkenrufen zum Trotze, lässt sich ein A+ Rating von SSL LABS auch mit Server 2012R2 and IIS 8.5 erreichen.
Dazu wurde wurde ein kostenfreie Zertifikat von Lets Encrypt eingesetzt. Die Cipher Suites auf dem IIS 8.5 mit IISCrypto optimiert.
Man muss die Best Practices Variante nutzen und auch die "weak" Ciphers in Kauf nehmen
Wichtig war übrigens hier nur TLS 1.2 zuzulassen, um dem Thema TLS_FALLBACK_SCSV aus dem Weg zugehen.
Zur Absicherung eines Webservers/Exchange-Servers
Der Trick im IIS 8.5 besteht nun darin einen Reverse Proxy zu installieren und die web.config am Besten mit folgendem Inhalt zur http->https Umleitung füttern bzw anpassen, falls dort schon eigene Einstellungen drin sind. Max-Age enstpricht dabei einem Jahr in Sekunden.
<?xml version="1.0" encoding="UTF-8"?>
<configuration>
<system.webServer>
<httpProtocol>
<customHeaders>
<add name="Strict-Transport-Security" value="max-age=31536000;includeSubdomains" />
</customHeaders>
</httpProtocol>
<rewrite>
<rules>
<rule name="HTTP to HTTPS redirect" stopProcessing="true">
<match url="(.*)" />
<conditions>
<add input="{HTTPS}" pattern="off" ignoreCase="true" />
</conditions>
<action type="Redirect" url="https://{HTTP_HOST}/{R:1}" redirectType="Permanent" />
</rule>
</rules>
<outboundRules>
<rule name="Add Strict-Transport-Security when HTTPS" enabled="true">
<match serverVariable="RESPONSE_Strict_Transport_Security" pattern=".*" />
<conditions>
<add input="{HTTPS}" pattern="on" ignoreCase="true" />
</conditions>
<action type="Rewrite" value="max-age=31536000; includeSubDomains; preload" />
</rule>
</outboundRules>
</rewrite>
</system.webServer>
</configuration>
Wichtige Quellen die mir als Ideenspender dienten:
https://www.windowspro.de/roland-eich/reverse-web-proxy-windows-server-2016-einrichten
https://www.iis.net/downloads/microsoft/url-rewrite
http://www.jppinto.com/2010/02/url-rewrite-2-0-installation/
Maik Fiebig, IT Admin