У меня возникают проблемы с блокировкой 64-разрядной версии Windows Server 2012 R2. Я использовал инструмент под названием IISCrypto, чтобы сделать коробку совместимой с FIPS 140.
Я вручную проверил записи реестра, и все слабые шифры выглядят отключенными, но сообщество Retina Network Scanner по-прежнему сообщает, что IIS поддерживает слабые шифры (Enabled=0
).
Когда я запускаю SSLScan, я получаю следующее:
Тестирование SSL-сервера 127.0.0.1 на port 443
Поддерживаемые серверные шифры:
Failed SSLv2 168 bits DES-CBC3-MD5
Failed SSLv2 56 bits DES-CBC-MD5
Failed SSLv2 128 bits IDEA-CBC-MD5
Failed SSLv2 40 bits EXP-RC2-CBC-MD5
Failed SSLv2 128 bits RC2-CBC-MD5
Failed SSLv2 40 bits EXP-RC4-MD5
Failed SSLv2 128 bits RC4-MD5
Failed SSLv3 256 bits ADH-AES256-SHA
Failed SSLv3 256 bits DHE-RSA-AES256-SHA
Failed SSLv3 256 bits DHE-DSS-AES256-SHA
Failed SSLv3 256 bits AES256-SHA
Failed SSLv3 128 bits ADH-AES128-SHA
Failed SSLv3 128 bits DHE-RSA-AES128-SHA
Failed SSLv3 128 bits DHE-DSS-AES128-SHA
Failed SSLv3 128 bits AES128-SHA
Failed SSLv3 168 bits ADH-DES-CBC3-SHA
Failed SSLv3 56 bits ADH-DES-CBC-SHA
Failed SSLv3 40 bits EXP-ADH-DES-CBC-SHA
Failed SSLv3 128 bits ADH-RC4-MD5
Failed SSLv3 40 bits EXP-ADH-RC4-MD5
Failed SSLv3 168 bits EDH-RSA-DES-CBC3-SHA
Failed SSLv3 56 bits EDH-RSA-DES-CBC-SHA
Failed SSLv3 40 bits EXP-EDH-RSA-DES-CBC-SHA
Failed SSLv3 168 bits EDH-DSS-DES-CBC3-SHA
Failed SSLv3 56 bits EDH-DSS-DES-CBC-SHA
Failed SSLv3 40 bits EXP-EDH-DSS-DES-CBC-SHA
Failed SSLv3 168 bits DES-CBC3-SHA
Failed SSLv3 56 bits DES-CBC-SHA
Failed SSLv3 40 bits EXP-DES-CBC-SHA
Failed SSLv3 128 bits IDEA-CBC-SHA
Failed SSLv3 40 bits EXP-RC2-CBC-MD5
Failed SSLv3 128 bits RC4-SHA
Failed SSLv3 128 bits RC4-MD5
Failed SSLv3 40 bits EXP-RC4-MD5
Failed SSLv3 0 bits NULL-SHA
Failed SSLv3 0 bits NULL-MD5
Failed TLSv1 256 bits ADH-AES256-SHA
Failed TLSv1 256 bits DHE-RSA-AES256-SHA
Failed TLSv1 256 bits DHE-DSS-AES256-SHA
Accepted TLSv1 256 bits AES256-SHA
Failed TLSv1 128 bits ADH-AES128-SHA
Failed TLSv1 128 bits DHE-RSA-AES128-SHA
Failed TLSv1 128 bits DHE-DSS-AES128-SHA
Accepted TLSv1 128 bits AES128-SHA
Failed TLSv1 168 bits ADH-DES-CBC3-SHA
Failed TLSv1 56 bits ADH-DES-CBC-SHA
Failed TLSv1 40 bits EXP-ADH-DES-CBC-SHA
Failed TLSv1 128 bits ADH-RC4-MD5
Failed TLSv1 40 bits EXP-ADH-RC4-MD5
Failed TLSv1 168 bits EDH-RSA-DES-CBC3-SHA
Failed TLSv1 56 bits EDH-RSA-DES-CBC-SHA
Failed TLSv1 40 bits EXP-EDH-RSA-DES-CBC-SHA
Failed TLSv1 168 bits EDH-DSS-DES-CBC3-SHA
Failed TLSv1 56 bits EDH-DSS-DES-CBC-SHA
Failed TLSv1 40 bits EXP-EDH-DSS-DES-CBC-SHA
Accepted TLSv1 168 bits DES-CBC3-SHA
Failed TLSv1 56 bits DES-CBC-SHA
Failed TLSv1 40 bits EXP-DES-CBC-SHA
Failed TLSv1 128 bits IDEA-CBC-SHA
Failed TLSv1 40 bits EXP-RC2-CBC-MD5
Failed TLSv1 128 bits RC4-SHA
Failed TLSv1 128 bits RC4-MD5
Failed TLSv1 40 bits EXP-RC4-MD5
Failed TLSv1 0 bits NULL-SHA
Failed TLSv1 0 bits NULL-MD5
Prefered Server Cipher(s):
TLSv1 256 bits AES256-SHA
Что мне не хватает? Спасибо
Хорошо DES-CBC3-SHA
неоднозначно, потому что в нем не указан алгоритм обмена ключами (почти уверен, что здесь подразумевается RSA), но, вероятно, Retina жалуется именно на это. Несмотря на то, что там написано DES (что, безусловно, НЕ соответствует требованиям FIPS), я относительно уверен, что на самом деле это относится к 3DES (тройной DES) из-за 168-битного ключа, который равен 56x3. Это просто плохой лейбл.
Если бы Retina была лучшим инструментом, она бы точно сказала, на что жалуется.
Проблема с использованием таких инструментов, как IISCrypto, заключается в том, что Вы не знаете, что он на самом деле делает за кулисами.
Кроме того, уверены ли вы, что используете версию SSLScan, обновленную для TLS 1.1 и 1.2? Существуют версии, которые останавливаются на TLS 1.0. В этом случае вы можете воспользоваться более современным инструментом, например SharpTLSScan: https://www.myotherpcisacloud.com/post/sharptlsscan-v12
У вас должны быть по умолчанию включены хотя бы некоторые шифры TLS 1.1 и 1.2 на Server 2012 R2, и это заставляет меня задаться вопросом, может ли ваша версия SSLScan устарела и не выполняет поиск новых версий протокола.
В любом случае вы действительно хотите включить TLS 1.1 и 1.2. Срок службы TLS 1.0 очень быстро подходит к концу.