Come disabilitare SSLv2 o SSLv3?

17

Qualcuno sa come disabilitare alcune versioni SSL e abilitarne solo altre in IIS 7.5?

ssl  iis-7.5 
user3386733
fonte
Disabilitare SSL 2.0 sembra una pessima idea; sei sicuro di volerlo fare?
Blueberryfields,
6
@blueberryfields: SSLv2 è antico , la versione attuale è TLSv1.1 (TLSv1 = SSLv3) e ha conosciuto buchi di sicurezza
LapTop006
14
La disabilitazione di SSL 2.0 è un'ottima idea (e necessaria per superare un test di conformità PCI).
Robert,
Se hai bisogno del KB aggiornato da MS, prova questo support.microsoft.com/en-us/kb/245030 È quello che IIS Crypto utilizza ...
Carlos Garcia,

Risposte:

24
  1. Aperto regedit

  2. Passare a, o creare le chiavi come necessario:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Server

  3. Crea / Modifica il valore Enabled, digita DWORD, valore "0"

  4. Reboot

Note: La stessa proceedure applicata ai nomi dei tasti PCT 1.0, SSL 2.0, SSL 3.0, TLS 1.0. Nelle versioni più recenti di Windows alcune di queste sono disabilitate per impostazione predefinita, il che dipende dalla versione.

Riferimento: http://support.microsoft.com/kb/187498

Chris S
fonte
8

Questo è qualcosa che devi correggere in regedit,

regedit può essere aperto con "start", "run", regedit

una volta lì, trova questa voce:

HKey_Local_Machine\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0

Fare clic con il tasto destro sulla cartella SSL 2.0 e selezionare Nuovo, quindi fare clic su Chiave. Denominare la nuova cartella Server.

All'interno della cartella Server, fai clic sul menu Modifica, seleziona Nuovo e fai clic su Valore DWORD (32 bit).

Invio Abilitato come nome e premere Invio.

Assicurarsi che sia visualizzato 0x00000000(0) nella colonna Dati (dovrebbe essere predefinito). In caso contrario, fare clic con il pulsante destro del mouse e selezionare Modifica e immettere 0 come Dati valore.

Riavvia il computer.

una bella spiegazione può essere trovata qui, incluso come disabilitare altre cifre deboli

https://www.sslshopper.com/article-how-to-disable-ssl-2.0-in-iis-7.html

Sverre
fonte
e ora, suppongo che dovremo iniziare a disabilitare anche SSLv3.0
Sverre,
6

Se non si ha dimestichezza con la modifica manuale del registro, è possibile utilizzare uno script Power Shell o un programma GUI per fare tutto questo.

C'è un ottimo script di Alexnder Hass qui: imposta IIS per SSL Perfect Forward Secrecy e TLS 1.2

Personalmente mi piace usare IIS Crypto è così semplice e ti permette di ordinare e scegliere suite di crittografia, cifre ecc. Puoi semplicemente usare le "migliori pratiche" se non sei sicuro di cosa stai facendo.

inserisci qui la descrizione dell'immagine

Inoltre, una volta terminato il riavvio del server, vai su SSL Labs per testare il tuo server.

In bocca al lupo!

RobDigital
fonte
App davvero bella.
Carlos Garcia,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.