Como limitar as conexões SSL / TLS a pelo menos 128 bits de criptografia?

Navegue suas respostas
5

Quando estou solicitando um certificado SSL para meu servidor público da Web, como posso ter certeza de que o servidor da Web (IIS 6 no meu caso) permitirá apenas conexões de cliente SSL / TLS que suportem nosso padrão corporativo de pelo menos 128 criptografia simétrica de bits.

Estou ciente de que você pode adquirir um certificado SSL que suporte 128 bits, mas durante o handshaking o cliente pode optar por fazer o downgrade da conexão para, digamos, SSLv2 e executar com criptografia de 40 bits.

Como posso impor que o cliente execute 128 bits ou melhor?

    
por spoulson 03.08.2009 / 16:16

3 respostas

6

A aplicação de chaves de criptografia de 128 bits na caixa de seleção é a etapa 1 para impor SSL strong em seu servidor da Web, mas sem desabilitar explicitamente algoritmos de criptografia fracos no registro, os clientes podem solicitar métodos de criptografia menos seguros (usando chaves tem 128 bits de comprimento). Aqui está o KB para editar o link do registro.

No entanto, eu segui isso, procurei por vulnerabilidades e descobri que senti falta de algumas, então aqui está um artigo que explica melhor o que deve ser desativado: link . Você precisará reinicializar após terminar para que as alterações entrem em vigor.

    
por 03.08.2009 / 16:41
3

Existem chaves de registro específicas que você pode aplicar para desabilitar o SSLv2 e todas as cifras fracas no IIS.

Para desativar o SSLv2, aplique estas alterações no registro:

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SecurityProviders \ SCHANNEL \ Protocolos \ PCT 1.0 \ Servidor]

"Ativado" = dword: 00000000

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SecurityProviders \ SCHANNEL \ Protocolos \ SSL 2.0 \ Server]

"Ativado" = dword: 00000000

Para desabilitar códigos fracos, aplique essas alterações no Registro:

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Controle \ SecurityProviders \ SCHANNEL \ Ciphers \ DES 56/56]

"Ativado" = dword: 00000000

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SecurityProviders \ SCHANNEL \ Cifras \ NULL]

"Ativado" = dword: 00000000

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Controle \ SecurityProviders \ SCHANNEL \ Ciphers \ RC2 40/128]

"Ativado" = dword: 00000000

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Controle \ SecurityProviders \ SCHANNEL \ Ciphers \ RC2 56/128]

"Ativado" = dword: 00000000

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Controle \ SecurityProviders \ SCHANNEL \ Ciphers \ RC4 40/128]

"Ativado" = dword: 00000000

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Controle \ SecurityProviders \ SCHANNEL \ Ciphers \ RC4 56/128]

"Ativado" = dword: 00000000

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Controle \ SecurityProviders \ SCHANNEL \ Ciphers \ RC4 64/128]

"Ativado" = dword: 0000000

Fonte - Esta página também lista como desativar SSLv2 / cifras fracas no Apache

Para testar a configuração, você pode usar o OpenSSL, a ferramenta THCSSLCheck ou o novo projeto do SSL Labs

    
por 03.08.2009 / 16:42
2

Você pode impor a criptografia de 128 bits no IIS fazendo o seguinte:

1.No Gerenciador do IIS, clique duas vezes no computador local e clique com o botão direito do mouse no site, diretório ou arquivo desejado e clique em Propriedades.

2.Na guia Segurança de diretório ou Segurança de arquivos, em Comunicações seguras, clique em Editar.

3.Na caixa Secure Communications, marque a caixa de seleção Exigir canal de segurança (SSL).

4. Se a criptografia de 128 bits for necessária, marque a caixa de seleção Exigir Criptografia de 128 bits.

5. Clique em OK.

Fonte

    
por 03.08.2009 / 16:23

Tags

Qual é a melhor maneira de configurar um cron job para verificar se um processo de longa duração ainda está sendo executado e, caso contrário, iniciá-lo? LDAP desconhecido cn = config senha do administrador