Я только что использовал www.ssllabs.com и провел несколько тестов - мой сервер ограничен оценкой B, потому что мой сервер принимает RC4
Этот сервер принимает шифр RC4, который является слабым. Оценка ограничена до B.
Я исследовал и обнаружил, что для отключения RC4 мне нужно добавить 3 ключа и установить их включенное dword на 0. Ссылка на сайт и Ссылка на сайт
Я сделал это для RC4 40/128
, RC 56/128
и RC4 64/128
Затем я перезапустил свой сервер. Когда сервер снова заработал, я проверил, что изменения реестра были внесены, и они есть - все 3 существуют, и все 3 имеют значение включения, равное 0.
Я возвращаюсь к ssllabs, очищаю кеш, повторно запускаю тест, и он возвращает тот же результат (ограничен до B из-за включения RC4).
На данном этапе я не уверен, что это означает - если SSLLabs показывает неверные результаты (я предполагаю, что нет), я отключил RC 4.
Как узнать, успешно ли я отключил RC4
редактировать
Я тоже видел КБ об этом http://support.microsoft.com/kb/2868725?wa=wsignin1.0 так что пытаюсь сейчас ... Я сделал те же изменения в реестре, но когда я пытаюсь загрузить 64-битную версию для W2008 R2 Standard, она не устанавливается с сообщением об ошибке
Обновление не применимо к вашему компьютеру
Там есть инструмент чтобы проверить порядок шифрования в графическом интерфейсе. У меня это срабатывает каждый раз. (Попробуйте на тестовой машине, если вы не доверяете exe.)
Microsoft выпустила совет по безопасности RC4 где объясняется, как отключить RC4 на стороне клиента и сервера. Теперь лучше всего отключить RC4.
Не забудьте выполнить обновление Windows в рекомендациях по безопасности, потому что есть schannel
обновить делать перед обновление порядка шифров.
Когда обновление будет выполнено, вы можете использовать инструмент (IISCrypto), рекомендательный патч Microsoft или обновите реестр Windows самостоятельно:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 128/128]
"Enabled"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 40/128]
"Enabled"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 56/128]
"Enabled"=dword:00000000