TLS 1.0 ainda está sendo usado no IIS depois de ter sido desativado

1

Configurei o IIS no Windows Server 2008 R2 para não permitir o TLS 1.0. Eu fiz isso definindo essas chaves reg e reinicializando:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server\DisabledByDefault set to 1 (as a DWORD)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server\Enabled set to 0 (as a DWORD)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Client\DisabledByDefault set to 1 (as a DWORD)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Client\Enabled set to 0 (as a DWORD)

No lado do cliente, estou usando o FireFox 48.0 e o IE 9 para testar. (Eu não posso usar versões posteriores do IE porque os administradores de rede têm as configurações bloqueadas). É assim que estou configurando o IE para forçar o TLS 1.0:

ÉassimqueestouconfigurandooFireFoxparaforçaroTLS1.0:

EstouusandooWireSharkparaconfirmaroprotocolosendousado.IssoéoqueparecequandoforçooTLS1.0nonavegador:

EutambémuseiocomandoOpenSSLsugeridoabaixoparaconfirmarqueoTLS1.0aindaestásendousado:

openssls_client-tls1-connectmysite.com:443

SeeuforçaroTLS1.1nonavegador,éassimqueoWireShark:

OproblemaéqueoservidorestáconfiguradoparanãopermitiroTLS1.0,masquandoeuconfiguromeunavegadorparausarapenasoTLS1.0,oTLS1.0estásendousado.SeeuconfiguraroIEparanãopermitirqualquerversãodoTLS,eleretornaráumerro" Internet Explorer cannot display the web page ", que é o que eu esperaria. Meu objetivo é impedir que o servidor use o TLS 1.0, mesmo que o cliente ofereça suporte apenas ao TLS 1.0, pois o TLS 1.0 possui vulnerabilidades de segurança. Como posso fazer o IIS parar de usar o TLS 1.0?

    
por Dwayne Driskill 08.08.2016 / 17:36

3 respostas

3

Você pode verificar se o servidor servirá o TLS 1.0 se solicitado com o seguinte comando openssl .

openssl s_client -tls1  -brief -connect example.com:443

Se a conexão tiver sucesso, você verá algo como:

CONNECTION ESTABLISHED
Protocol version: TLSv1
Ciphersuite: DHE-RSA-AES256-SHA
Peer certificate: CN = example.com
Server Temp Key: DH, 8192 bits

Se a conexão falhar, você verá:

write:errno=104

Você pode testar o suporte para outros protocolos emitindo:

TLS v1.1: openssl s_client -tls1_1 -brief -connect example.com:443

TLS v1.2: openssl s_client -tls1_2 -brief -connect example.com:443

SSL v3: openssl s_client -ssl3 -brief -connect example.com:443

    
por 08.08.2016 / 17:58
1

Eu sei que isso é antigo, mas isso pode ajudar outra pessoa. Se o FIPS estiver ativado, ele substituirá as configurações do TLS 1.0 e ativará o TLS 1.0. Tem que estar desabilitado para desabilitar o TLS 1.0. Espero que isso ajude alguém.

    
por 10.01.2018 / 19:01
0

O problema era que, na verdade, o SSL estava sendo manipulado por um balanceador de carga e não no servidor, portanto, ele precisava ser desativado no balanceador de carga.

    
por 12.01.2018 / 01:24

Tags