Як відключити SSLv2 або SSLv3?

17

Хтось знає, як відключити певні версії SSL та включити лише інші в IIS 7.5?

ssl iis-7.5

— user3386733
джерело

Відключення SSL 2.0 звучить як дуже погана ідея; ти впевнений, що хочеш це зробити?

— blueberryfields

6

@blueberryfields: SSLv2 - давня , поточна версія - TLSv1.1 (TLSv1 = SSLv3), і має відомі отвори в безпеці

— LapTop006

14

Відключення SSL 2.0 - дуже хороша ідея (і потрібно пройти тест на відповідність PCI).

— Роберт

Якщо вам потрібен оновлений КБ від MS, спробуйте цю підтримку.microsoft.com/

— Карлос Гарсія

24

відчинено regedit

Перейдіть до або створіть ключі за необхідності:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Server

Створення / редагування значення Enabled, введіть DWORD, значення "0"
Перезавантажте

Примітки: Те ж proceedure застосовується до імен ключів PCT 1.0, SSL 2.0, SSL 3.0, TLS 1.0. У новіших версіях Windows деякі з них відключені за замовчуванням - це залежить від версії.

Довідка: http://support.microsoft.com/kb/187498

— Кріс С
джерело

8

Це щось, що потрібно виправити в regedit,

regedit можна відкрити за допомогою "start", "run", regedit

знайшовши цей запис:

HKey_Local_Machine\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0

Клацніть правою кнопкою миші папку SSL 2.0 і виберіть команду Створити, а потім клавішу Клавіша. Назвіть нову папку Сервер.

Всередині папки Сервер натисніть меню Редагувати, виберіть Створити та натисніть Значення DWORD (32 біт).

Введіть Увімкнено як ім'я та натисніть Enter.

Переконайтеся, що він відображає 0x00000000(0) у стовпці "Дані" (він повинен бути за замовчуванням). Якщо це не так, клацніть правою кнопкою миші та виберіть Змінити та введіть 0 як дані Значення.

Перезавантажте комп'ютер.

тут можна знайти приємне пояснення, зокрема, як відключити інші слабкі шифри

https://www.sslshopper.com/article-how-to-disable-ssl-2.0-in-iis-7.html

— Sverre
джерело

і тепер, мабуть, нам також слід почати відключати SSLv3.0

— Sverre

6

Якщо вам не зручно вручну редагувати реєстр, ви можете використовувати сценарій оболонки живлення або програму GUI, щоб зробити це все за вас.

Тут є чудовий сценарій Олександра Хасса - Налаштуйте свій IIS для SSL Perfect Forward Secret і TLS 1.2

Я особисто люблю використовувати криптовалюту IIS, це так просто і дозволяє замовляти та вибирати криптовалюти, шифри тощо. Ви можете просто використовувати «найкращі практики», якщо ви не впевнені, чим займаєтесь.

Крім того, як тільки ви перезавантажите сервер, перейдіть до лабораторій SSL для тестування вашого сервера.

Щасти!

— RobDigital
джерело

Дійсно приємний додаток.

— Карлос Гарсія