Як відключити RC4

Я щойно використовував www.ssllabs.com і провів кілька тестів - мій сервер обмежений до рівня B, оскільки мій сервер приймає RC4

Цей сервер приймає шифр RC4, який є слабким. Клас обмежений до Б.

Я дослідив і виявив, що для відключення RC4 мені потрібно додати 3 клавіші та встановити їх увімкнений dword на 0 Link and Link

Я зробив це для RC4 40/128, RC 56/128іRC4 64/128

Потім я перезапустив свій сервер. Коли сервер знову ввімкнувся, я перевірив, чи були внесені зміни в реєстрі, і вони є - всі 3 існують і всі 3 мають увімкнене значення 0.

Повертаюсь до ssllabs, очищаю кеш, повторно запускаю тест, і він повертає той самий результат (обмежений на B через включення RC4).

На цьому етапі я не впевнений, що це означає - якщо SSLLabs, що показує неправильні результати (я вважаю, що немає), чи відключив RC 4.

Як я можу дізнатися, чи я успішно відключив RC4

Редагувати

Я також бачив КБ про це http://support.microsoft.com/kb/2868725?wa=wsignin1.0, тому намагаюся зараз… Я зробив ті ж зміни в реєстрі, але коли я намагаюся завантажити 64-бітний версія для W2008 R2 Standard, вона не вдається встановити з повідомленням про помилку

Оновлення не стосується вашого комп'ютера

windows-server-2008-r2 ssl iis-7

— Дейв
джерело

Наразі RC4 в безпеці. Якщо ви не боретеся з охоронними агенціями з тисячами серверів, наповнених картами radeon, то вам нічого не турбуватися. Проблеми безпеки Cypher4 на даний момент є чистою спекуляцією. Microsoft хоче скинути це, оскільки вони просто хочуть нових стандартів в обмін. У практичному розумінні навіть SHA-1 ще не зламаний.

— Перекрити

Я втратив, що стосується MS з цим - вони не повідомляють про помилку (якщо тільки ssllabs.com не належить MS)? З SHA-1 ви кажете, що вона все ще працює, але є більш безпечні варіанти?

— Дейв

MS використовує RC4 в операційних системах і хоче відійти від нього. Так, SHA-1 був створений у 95 році, звичайно, він розвивався, але справа в тому, що він все ще захищений.

— Перекрити

Кілька повідомлень про те, що RC4 не є безпечним: blogs.technet.com/b/srd/archive/2013/11/12/…

— Lizz

У стандартній доріжці є IETF RFC, який вимагає видалення пропозицій RC4 з рукостискань TLS через проблеми безпеки: tools.ietf.org/html/rfc7465

— the wabbit

Існує інструмент для перевірки порядку шифрування в графічному інтерфейсі. Це працює для мене кожен раз. (Спробуйте це на тестовій машині, якщо ви не довіряєте exe.)

Microsoft випустила рекомендації щодо безпеки RC4, де вони пояснюють, як відключити RC4 на стороні клієнта та сервера. Тепер найкраща практика відключити RC4.

Не забудьте зробити оновлення Windows у довідці з безпеки, оскільки перед оновленням порядку шифрування schannelпотрібно зробити оновлення.

Коли оновлення завершено, ви можете використовувати інструмент (IISCrypto) , дорадчий патч Microsoft або самостійно оновити реєстр Windows:

(Будьте уважні. Спершу створіть резервну копію реєстру.)

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 128/128]
"Enabled"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 40/128]
"Enabled"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 56/128]
"Enabled"=dword:00000000

— ЮКЮК
джерело

Мені навіть не потрібно було запускати сканування - як тільки я його відкрив, я побачив, RC 128/128що не було зазначено у посиланнях, які я цитував. Додавання RC 128/128та встановлення слова "Увімкнено" до 0 вирішило проблему.

— Дейв

@Dave, чи можете ви, будь ласка, додати відповідь із інформацією з вашого коментаря? Було б дуже корисно! :)

— Ліз

@Lizz @Dave, ти мав на увазі RC4 128/128чи є окремий RC 128/128?

— Майкл - Де Клей Ширкий