Meu windows Server 2008R2 tem o protocolo SSL v2 agora. Devido à violação de segurança, verifiquei a desativação do SSL v2.
So should I enable SSL v3 or should i jump directly to TLS 1.1\ TLS 1.2 ?
Se eu desativar o SSL v2 e não ativar nenhuma das versões superiores, haverá algum problema de segurança?
Sim, você deve desativar o SSLv3 em favor do TLSv1.1 +. SSLv3 & O TLS1.0 é considerado vulnerável ao "Enchimento da Oracle na criptografia legada rebaixada" homem-na- ataque do meio, o que pode levar a revelar seus dados secretos (como senhas) a um invasor ...
A menos que você tenha uma razão específica para não fazê-lo (ou seja, você precisa dar suporte a clientes legados), talvez seja melhor ativar a versão mais alta possível do TLS (ou seja, TLSv1.2) e desabilitar tudo (e certamente Certifique-se de desativar tanto o SSLv2 quanto o SSLv3).
Você provavelmente também quer sintonizar (se puder) as cifras específicas que você usa. Não encontrei nada específico para o Windows, mas o TLS do servidor da Mozilla pode ser de alguma utilidade.
Eles recomendam notavelmente o uso das seguintes cifras:
ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256
Eles também recomendam o uso de TLSv1.2 e a garantia de que você use chaves RSA com pelo menos 2048 bits.
O SSLv3 é vulnerável a POODLE e outras vulnerabilidades importantes.
Você deveria realmente usar o TLS v1.1 +