Jak wyłączyć SSLv2 lub SSLv3?


17

Czy ktoś wie, jak wyłączyć niektóre wersje SSL i włączyć tylko inne w IIS 7.5?


Wyłączenie protokołu SSL 2.0 wydaje się naprawdę złym pomysłem; czy na pewno chcesz to zrobić?
blueberryfields

6
@blueberryfields: SSLv2 jest starożytny , obecna wersja to TLSv1.1 (TLSv1 = SSLv3) i ma znane luki w zabezpieczeniach
LapTop006

14
Wyłączenie SSL 2.0 jest bardzo dobrym pomysłem (i wymagane do zdania testu zgodności PCI).
Robert

Jeśli potrzebujesz zaktualizowanej wersji KB od MS, wypróbuj ten support.microsoft.com/en-us/kb/245030 To jest ten, którego używa IIS Crypto ...
Carlos Garcia

Odpowiedzi:


24
  1. otwarty regedit
  2. Przejdź do lub utwórz klucze w razie potrzeby:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Server
    
  3. Utwórz / Edytuj wartość Enabled, wpisz DWORD, wartość „0”

  4. Restart

Uwagi: To samo proceedure stosować do ogólnych nazw PCT 1.0, SSL 2.0, SSL 3.0, TLS 1.0. W nowszych wersjach systemu Windows niektóre z nich są domyślnie wyłączone - w zależności od wersji.

Odniesienie: http://support.microsoft.com/kb/187498


8

Jest to coś, co musisz naprawić w regedit,

regedit można otworzyć za pomocą „start”, „run”, regedit

tam znajdziesz ten wpis:

HKey_Local_Machine\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0

Kliknij prawym przyciskiem myszy folder SSL 2.0 i wybierz Nowy, a następnie kliknij Klucz. Nazwij nowy folder Serwer.

W folderze Serwer kliknij menu Edycja, wybierz Nowy i kliknij Wartość DWORD (32-bit).

Wpisz Enabled jako nazwę i naciśnij Enter.

Upewnij się, że pokazuje 0x00000000(0) w kolumnie Dane (domyślnie powinno). Jeśli nie, kliknij prawym przyciskiem myszy i wybierz opcję Modyfikuj, a następnie wprowadź 0 jako dane wartości.

Zrestartuj komputer.

fajne wyjaśnienie można znaleźć tutaj, w tym jak wyłączyć inne słabe szyfry

https://www.sslshopper.com/article-how-to-disable-ssl-2.0-in-iis-7.html


i teraz chyba też musimy zacząć wyłączać SSLv3.0
Sverre

6

Jeśli ręczna edycja rejestru nie jest wygodna, możesz użyć skryptu Power Shell lub programu GUI, aby zrobić to wszystko za Ciebie.

Jest tutaj świetny skrypt autorstwa Alexndera Hassa - Skonfiguruj swoje usługi IIS dla SSL Perfect Forward Secrecy i TLS 1.2

Osobiście lubię korzystać z IIS Crypto, jest to tak łatwe i pozwala zamawiać i wybierać zestawy kryptograficzne, szyfry itp. Możesz po prostu skorzystać z „najlepszych praktyk”, jeśli nie jesteś pewien, co robisz.

wprowadź opis zdjęcia tutaj

Ponadto po zakończeniu ponownego uruchamiania serwera przejdź do laboratorium SSL, aby przetestować serwer.

Powodzenia!


Naprawdę fajna aplikacja.
Carlos Garcia,
Korzystając z naszej strony potwierdzasz, że przeczytałeś(-aś) i rozumiesz nasze zasady używania plików cookie i zasady ochrony prywatności.
Licensed under cc by-sa 3.0 with attribution required.