Como desativar o SSLv2 ou SSLv3?

17

Alguém sabe como desabilitar determinadas versões SSL e habilitar apenas outras no IIS 7.5?

user3386733
fonte
Desabilitar o SSL 2.0 parece uma péssima idéia; Você tem certeza de que quer fazer isso?
blueberryfields
6
@blueberryfields: SSLv2 é antiga , versão atual é TLSv1.1 (TLSv1 = SSLv3), e tem conhecido falhas de segurança
LapTop006
14
Desabilitar o SSL 2.0 é uma ótima idéia (e necessária para passar em um teste de conformidade com o PCI).
Robert
Se você precisa do KB atualizado de MS, tente este support.microsoft.com/en-us/kb/245030 É aquele que usa o IIS Crypto ...
Carlos Garcia

Respostas:

24
  1. Aberto regedit
  2. Navegue para ou crie as chaves conforme necessário:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Server
    
  3. Crie / edite o valor Enabled, digite DWORD, valor "0"

  4. Reiniciar

Notas: igual ao procedimento aplicado aos nomes das teclas PCT 1.0, SSL 2.0, SSL 3.0, TLS 1.0. Nas versões mais recentes do Windows, alguns deles são desativados por padrão - o que depende de qual versão.

Referência: http://support.microsoft.com/kb/187498

Chris S
fonte
8

Isso é algo que você precisa corrigir no regedit,

O regedit pode ser aberto com "start", "run", regedit

Uma vez lá, encontre esta entrada:

HKey_Local_Machine\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0

Clique com o botão direito do mouse na pasta SSL 2.0 e selecione Novo e clique em Chave. Nomeie a nova pasta Servidor.

Dentro da pasta Servidor, clique no menu Editar, selecione Novo e clique em Valor DWORD (32 bits).

Digite Ativado como o nome e pressione Enter.

Verifique se ele mostra 0x00000000(0) na coluna Dados (por padrão). Caso contrário, clique com o botão direito do mouse e selecione Modificar e insira 0 como dados do valor.

Reinicie o computador.

uma boa explicação pode ser encontrada aqui, incluindo como desativar outras cifras fracas

https://www.sslshopper.com/article-how-to-disable-ssl-2.0-in-iis-7.html

Sverre
fonte
e agora, acho que temos que começar a desativar o SSLv3.0 também
Sverre
6

Se você não estiver confortável com a edição manual do registro, poderá usar um script do shell de energia ou um programa GUI para fazer tudo isso por você.

Há um ótimo script de Alexnder Hass aqui - Configure seu IIS para SSL Perfect Forward Secrecy e TLS 1.2

Pessoalmente, gosto de usar o IIS Crypto , é tão fácil e permite que você faça o pedido e escolha conjuntos de criptografia, cifras etc. Você pode usar as 'melhores práticas' se não tiver certeza do que está fazendo.

insira a descrição da imagem aqui

Além disso, depois de reiniciar o servidor, vá para o SSL Labs para testar seu servidor.

Boa sorte!

RobDigital
fonte
App muito bom.
Carlos Garcia