Назад | Перейти на главную страницу

Windows Server 2012 R2 IIS слабые шифры, обнаруженные после блокировки

У меня возникают проблемы с блокировкой 64-разрядной версии Windows Server 2012 R2. Я использовал инструмент под названием IISCrypto, чтобы сделать коробку совместимой с FIPS 140.

Я вручную проверил записи реестра, и все слабые шифры выглядят отключенными, но сообщество Retina Network Scanner по-прежнему сообщает, что IIS поддерживает слабые шифры (Enabled=0).

Когда я запускаю SSLScan, я получаю следующее:

Тестирование SSL-сервера 127.0.0.1 на port 443 Поддерживаемые серверные шифры:

Failed    SSLv2  168 bits  DES-CBC3-MD5
Failed    SSLv2   56 bits  DES-CBC-MD5
Failed    SSLv2  128 bits  IDEA-CBC-MD5
Failed    SSLv2   40 bits  EXP-RC2-CBC-MD5
Failed    SSLv2  128 bits  RC2-CBC-MD5
Failed    SSLv2   40 bits  EXP-RC4-MD5
Failed    SSLv2  128 bits  RC4-MD5
Failed    SSLv3  256 bits  ADH-AES256-SHA
Failed    SSLv3  256 bits  DHE-RSA-AES256-SHA
Failed    SSLv3  256 bits  DHE-DSS-AES256-SHA
Failed    SSLv3  256 bits  AES256-SHA
Failed    SSLv3  128 bits  ADH-AES128-SHA
Failed    SSLv3  128 bits  DHE-RSA-AES128-SHA
Failed    SSLv3  128 bits  DHE-DSS-AES128-SHA
Failed    SSLv3  128 bits  AES128-SHA
Failed    SSLv3  168 bits  ADH-DES-CBC3-SHA
Failed    SSLv3   56 bits  ADH-DES-CBC-SHA
Failed    SSLv3   40 bits  EXP-ADH-DES-CBC-SHA
Failed    SSLv3  128 bits  ADH-RC4-MD5
Failed    SSLv3   40 bits  EXP-ADH-RC4-MD5
Failed    SSLv3  168 bits  EDH-RSA-DES-CBC3-SHA
Failed    SSLv3   56 bits  EDH-RSA-DES-CBC-SHA
Failed    SSLv3   40 bits  EXP-EDH-RSA-DES-CBC-SHA
Failed    SSLv3  168 bits  EDH-DSS-DES-CBC3-SHA
Failed    SSLv3   56 bits  EDH-DSS-DES-CBC-SHA
Failed    SSLv3   40 bits  EXP-EDH-DSS-DES-CBC-SHA
Failed    SSLv3  168 bits  DES-CBC3-SHA
Failed    SSLv3   56 bits  DES-CBC-SHA
Failed    SSLv3   40 bits  EXP-DES-CBC-SHA
Failed    SSLv3  128 bits  IDEA-CBC-SHA
Failed    SSLv3   40 bits  EXP-RC2-CBC-MD5
Failed    SSLv3  128 bits  RC4-SHA
Failed    SSLv3  128 bits  RC4-MD5
Failed    SSLv3   40 bits  EXP-RC4-MD5
Failed    SSLv3    0 bits  NULL-SHA
Failed    SSLv3    0 bits  NULL-MD5
Failed    TLSv1  256 bits  ADH-AES256-SHA
Failed    TLSv1  256 bits  DHE-RSA-AES256-SHA
Failed    TLSv1  256 bits  DHE-DSS-AES256-SHA
Accepted  TLSv1  256 bits  AES256-SHA
Failed    TLSv1  128 bits  ADH-AES128-SHA
Failed    TLSv1  128 bits  DHE-RSA-AES128-SHA
Failed    TLSv1  128 bits  DHE-DSS-AES128-SHA
Accepted  TLSv1  128 bits  AES128-SHA
Failed    TLSv1  168 bits  ADH-DES-CBC3-SHA
Failed    TLSv1   56 bits  ADH-DES-CBC-SHA
Failed    TLSv1   40 bits  EXP-ADH-DES-CBC-SHA
Failed    TLSv1  128 bits  ADH-RC4-MD5
Failed    TLSv1   40 bits  EXP-ADH-RC4-MD5
Failed    TLSv1  168 bits  EDH-RSA-DES-CBC3-SHA
Failed    TLSv1   56 bits  EDH-RSA-DES-CBC-SHA
Failed    TLSv1   40 bits  EXP-EDH-RSA-DES-CBC-SHA
Failed    TLSv1  168 bits  EDH-DSS-DES-CBC3-SHA
Failed    TLSv1   56 bits  EDH-DSS-DES-CBC-SHA
Failed    TLSv1   40 bits  EXP-EDH-DSS-DES-CBC-SHA
Accepted  TLSv1  168 bits  DES-CBC3-SHA
Failed    TLSv1   56 bits  DES-CBC-SHA
Failed    TLSv1   40 bits  EXP-DES-CBC-SHA
Failed    TLSv1  128 bits  IDEA-CBC-SHA
Failed    TLSv1   40 bits  EXP-RC2-CBC-MD5
Failed    TLSv1  128 bits  RC4-SHA
Failed    TLSv1  128 bits  RC4-MD5
Failed    TLSv1   40 bits  EXP-RC4-MD5
Failed    TLSv1    0 bits  NULL-SHA
Failed    TLSv1    0 bits  NULL-MD5

Prefered Server Cipher(s):

TLSv1  256 bits  AES256-SHA

Что мне не хватает? Спасибо

Хорошо DES-CBC3-SHA неоднозначно, потому что в нем не указан алгоритм обмена ключами (почти уверен, что здесь подразумевается RSA), но, вероятно, Retina жалуется именно на это. Несмотря на то, что там написано DES (что, безусловно, НЕ соответствует требованиям FIPS), я относительно уверен, что на самом деле это относится к 3DES (тройной DES) из-за 168-битного ключа, который равен 56x3. Это просто плохой лейбл.

Если бы Retina была лучшим инструментом, она бы точно сказала, на что жалуется.

Проблема с использованием таких инструментов, как IISCrypto, заключается в том, что Вы не знаете, что он на самом деле делает за кулисами.

Кроме того, уверены ли вы, что используете версию SSLScan, обновленную для TLS 1.1 и 1.2? Существуют версии, которые останавливаются на TLS 1.0. В этом случае вы можете воспользоваться более современным инструментом, например SharpTLSScan: https://www.myotherpcisacloud.com/post/sharptlsscan-v12

У вас должны быть по умолчанию включены хотя бы некоторые шифры TLS 1.1 и 1.2 на Server 2012 R2, и это заставляет меня задаться вопросом, может ли ваша версия SSLScan устарела и не выполняет поиск новых версий протокола.

В любом случае вы действительно хотите включить TLS 1.1 и 1.2. Срок службы TLS 1.0 очень быстро подходит к концу.