Como desativar o SSLv2 ou o SSLv3?

17

Alguém sabe como desabilitar certas versões SSL e apenas habilitar outras pessoas no IIS 7.5?

    
por user3386733 10.03.2014 / 04:20

3 respostas

24

  1. Abrir regedit
  2. Navegue até ou crie as chaves conforme necessário:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Server
    
  3. Crie / edite o valor Enabled , digite DWORD, valor "0"

  4. Reinicializar

Notas: O mesmo procedimento aplicado aos nomes-chave PCT 1.0 , SSL 2.0 , SSL 3.0 , TLS 1.0 . Nas versões mais recentes do Windows, algumas delas são desativadas por padrão - o que depende de qual versão.

Referência: link

    
por 10.03.2014 / 04:29
8

Isso é algo que você precisa corrigir no regedit,

regedit pode ser aberto com "start", "run", regedit

uma vez lá, encontre esta entrada:

HKey_Local_Machine\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0

Clique com o botão direito do mouse na pasta SSL 2.0, selecione Novo e clique em Chave. Nomeie a nova pasta Server.

Dentro da pasta Servidor, clique no menu Editar, selecione Novo e clique em Valor DWORD (32 bits).

Digite Ativado como o nome e pressione Enter.

Assegure-se de que mostre 0x00000000 (0) na coluna Dados (deve ser por padrão). Se isso não acontecer, clique com o botão direito do mouse e selecione Modificar e insira 0 como os dados do valor.

Reinicie o computador.

uma boa explicação pode ser encontrada aqui, incluindo como desativar outras cifras fracas

link

    
por 10.03.2014 / 04:58
6

Se você não estiver confortável editando manualmente o registro, você pode usar um script de shell de energia ou um programa GUI para fazer tudo isso para você.

Existe um ótimo roteiro escrito por Alexnder Hass aqui - Configure o seu IIS para SSL Perfect Perfect Secrecy e TLS 1.2

Eu, pessoalmente, gosto de usar o IIS Crypto , é tão fácil e permite que você faça pedidos e escolha conjuntos de criptografia, cifras etc. Você pode simplesmente usar as "práticas recomendadas" se não tiver certeza do que está fazendo.

Alémdisso,depoisdereiniciaroservidor,vápara SSL Labs para testar seu servidor.

Boa sorte!

    
por 23.09.2015 / 18:00

Tags