Мне нужно отключить поддержку SSL 2.0 на сервере Windows Server 2003 (с IIS 6.0). В частности, я хотел бы иметь возможность отключить на одном веб-сайте. Возможно ли это или мне нужно отключить его глобально, отредактировав реестр?
Microsoft имеет база знаний запись для этого. Это связано с редактированием реестра, и я считаю, что это глобальное изменение. Я не думаю, что это возможно для одного сайта.
Вам следует отключить как SSL 2.0, так и SSL 3.0, а также PCT 1.0 и TLS 1.0. Для этого вам потребуются записи для этих протоколов (как серверных, так и клиентских) в вашем реестре. Они недоступны по умолчанию и здесь, на этой официальной странице Microsoft вы можете прочитать, как добавить эти записи и отключить функциональность.
Но чтобы облегчить тебе жизнь. Вы также можете вставить следующие строки в .reg файл и запустите его:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\PCT 1.0\Server]
"Enabled"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Server]
"Enabled"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Server]
"Enabled"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Client]
"DisabledByDefault"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server]
"Enabled"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Client]
"DisabledByDefault"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Server]
"Enabled"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Client]
"DisabledByDefault"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server]
"Enabled"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
"DisabledByDefault"=dword:00000000
Записи будут созданы для вас, и будут включены только TLS 1.1 и TLS 1.2, а все другие (небезопасные) протоколы будут отключены.