Configurando o IIS 7.5 para ser compatível com FIPS 140.2

3

Preciso configurar o IIS 7.5 (Server 2008 R2) como compatível com FIPS 140.2.

Especificamente, isso envolve a desativação de todos os protocolos SSL que não sejam o TLS 1.0.

Eu defini as seguintes chaves de registro:

HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Server
HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Server
HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\PCT 1.0\Server

para Ativado (DWORD) = 0 conforme este KB , mas O verificador do SSL Labs diz que o" Suporte à atualização do SSL 2.0+ "está ativado. (Tudo o que não é isso e TLS 1.0 não está disponível, por isso estamos chegando a algum lugar). Ele também diz "FIPS ready - no" - presumivelmente porque o suporte a upgrade do SSL 2.0+ ainda está ativado.

serversniff.net diz que o SSL 2.0 está desativado e não diz nada sobre o Suporte de Atualização do SSL 2.0+. Isso poderia ser uma anomalia com o verificador do SSL Labs?

    
por tomfanning 04.06.2010 / 11:22

3 respostas

2

Isso significa que o servidor suporta o handshake SSLv2, embora possa não suporta o próprio SSLv2. Essencialmente, é uma otimização. Ao invés de um cliente solicitando primeiro SSLv2 (com um handshake SSLv2) e falhando (se o servidor não suportar), então ter que solicitar SSLv3 ou melhor (com um handshake SSLv3), o cliente pode usar o SSLv2 handshake para indicar suporte para protocolos mais recentes.

link

    
por 30.06.2010 / 21:18
1

Você pode confirmar que há um problema com o verificador SSL Labs alterando a configuração no seu navegador para aceitar apenas o SSL 2.0. Se você conseguir se conectar ao seu site, o SSL 2.0 ainda estará ativado. Caso contrário, está desativado.

    
por 10.06.2010 / 17:29
0

Uma empresa chamada software Nartac faz uma ferramenta de configuração gratuita IIS Crypto que pode ser usada para ativar / desabilitar protocolos e conjuntos de criptografia no IIS no Windows 2003, 2008 e 2012. Ele também vem com modelos para configurar o IIS para ser compatível com FIPS 140.2, integra-se com o Qualys SSL analisador de sites para testar urls públicos e tem uma lista de outras ferramentas de validação que podem ser usadas para validar sites internos.

    
por 29.08.2014 / 03:21