Как отключить SSLv2 или SSLv3?

17

Кто-нибудь знает, как отключить определенные версии SSL и включить другие только в IIS 7.5?

user3386733
источник
Отключение SSL 2.0 звучит как очень плохая идея; Вы уверены, что хотите это сделать?
черничные
6
@blueberryfields: SSLv2 древний , текущая версия TLSv1.1 (TLSv1 = SSLv3) и имеет известные дыры в безопасности
LapTop006
14
Отключение SSL 2.0 является очень хорошей идеей (и требуется для прохождения теста на соответствие PCI).
Роберт
Если вам нужен обновленный КБ от MS, попробуйте этот support.microsoft.com/en-us/kb/245030 Это тот, который использует IIS Crypto ...
Карлос Гарсия

Ответы:

24
  1. открыто regedit
  2. Перейдите к или создайте ключи по мере необходимости:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Server
    
  3. Создайте / отредактируйте значение Enabled, введите DWORD, значение "0"

  4. перезагрузка

Примечания: То же proceedure применяется к именам ключей PCT 1.0, SSL 2.0, SSL 3.0, TLS 1.0. В более новых версиях Windows некоторые из них по умолчанию отключены, что зависит от того, какая версия.

Ссылка: http://support.microsoft.com/kb/187498

Крис С
источник
8

Это то, что вам нужно исправить в regedit,

regedit можно открыть с помощью «start», «run», regedit

Оказавшись там, найдите эту запись:

HKey_Local_Machine\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0

Щелкните правой кнопкой мыши папку SSL 2.0 и выберите «Создать», а затем нажмите «Ключ». Назовите новую папку Сервер.

В папке «Сервер» откройте меню «Правка», выберите «Создать» и нажмите «Значение DWORD (32-разрядное)».

Введите Enabled в качестве имени и нажмите Enter.

Убедитесь, что он показывает 0x00000000(0) под столбцом данных (это должно по умолчанию). Если этого не произойдет, щелкните правой кнопкой мыши и выберите «Изменить» и введите 0 в качестве значения данных.

Перезагрузите компьютер.

хорошее объяснение можно найти здесь, в том числе, как отключить другие слабые шифры

https://www.sslshopper.com/article-how-to-disable-ssl-2.0-in-iis-7.html

Сверре
источник
и теперь, я думаю, мы должны начать отключать SSLv3.0
Sverre
6

Если вам неудобно редактировать реестр вручную, вы можете использовать скрипт Power Shell или программу с графическим интерфейсом, чтобы сделать все это за вас.

Здесь есть замечательный сценарий от Alexnder Hass - настройте свой IIS для SSL Perfect Forward Secrecy и TLS 1.2

Мне лично нравится использовать IIS Crypto, это так просто и позволяет вам заказывать и выбирать крипто-наборы, шифры и т. Д. Вы можете просто использовать «лучшие практики», если вы не уверены, что делаете.

введите описание изображения здесь

Кроме того, как только вы закончите перезагрузку сервера, перейдите в SSL Labs для тестирования вашего сервера.

Удачи!

RobDigital
источник
Действительно хорошее приложение.
Карлос Гарсия