Назад | Перейти на главную страницу

Как ограничить соединения SSL / TLS хотя бы 128-битным шифрованием?

Когда я заказываю сертификат SSL для своего общедоступного веб-сервера, как я могу быть уверен, что веб-сервер (IIS 6 в моем случае) будет разрешать только клиентские соединения SSL / TLS, поддерживающие наш корпоративный стандарт не менее 128-битного симметричного шифрования. .

Я знаю, что вы можете приобрести сертификат SSL, который поддерживает 128-битное соединение, но во время установления связи клиент может выбрать понижение уровня соединения, скажем, до SSLv2 и работать с 40-битным шифрованием.

Как я могу заставить клиента работать со 128-битной или лучшей версией?

Применение 128-битных ключей шифрования с помощью флажка - это шаг 1 для обеспечения сильного SSL на вашем веб-сервере, но без явного отключения слабых алгоритмов шифрования в реестре клиенты могут запросить использование менее безопасных методов шифрования (при использовании 128-битных ключей). бит в длину). Вот КБ для редактирования реестра http://support.microsoft.com/kb/245030.

Тем не менее, я проследил за этим, повторно просканировал уязвимости и обнаружил, что пропустил некоторые, поэтому вот статья, которая лучше объясняет, что отключать: http://blog.zenone.org/2009/03/pci-compliance-disable-sslv2-and-weak.html. После того, как вы закончите, вам нужно будет перезагрузиться, чтобы изменения вступили в силу.

Существуют определенные ключи реестра, которые можно применить для отключения SSLv2 и любых слабых шифров в IIS.

Чтобы отключить SSLv2, примените эти изменения реестра:

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SecurityProviders \ SCHANNEL \ Protocols \ PCT 1.0 \ Server]

«Включено» = dword: 00000000

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SecurityProviders \ SCHANNEL \ Protocols \ SSL 2.0 \ Server]

«Включено» = dword: 00000000

Чтобы отключить слабые шифры, примените эти изменения реестра:

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SecurityProviders \ SCHANNEL \ Ciphers \ DES 56/56]

«Включено» = dword: 00000000

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SecurityProviders \ SCHANNEL \ Ciphers \ NULL]

«Включено» = dword: 00000000

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SecurityProviders \ SCHANNEL \ Ciphers \ RC2 40/128]

«Включено» = dword: 00000000

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SecurityProviders \ SCHANNEL \ Ciphers \ RC2 56/128]

«Включено» = dword: 00000000

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SecurityProviders \ SCHANNEL \ Ciphers \ RC4 40/128]

«Включено» = dword: 00000000

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SecurityProviders \ SCHANNEL \ Ciphers \ RC4 56/128]

«Включено» = dword: 00000000

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SecurityProviders \ SCHANNEL \ Ciphers \ RC4 64/128]

«Включено» = dword: 0000000

Источник - На этой странице также указано, как отключить SSLv2 / слабые шифры в Apache.

Чтобы проверить конфигурацию, вы можете использовать OpenSSL, инструмент THCSSLCheck или новый Проект SSL Labs

Вы можете принудительно использовать 128-битное шифрование в IIS, выполнив следующие действия:

1. В диспетчере IIS дважды щелкните локальный компьютер, а затем щелкните правой кнопкой мыши нужный веб-сайт, каталог или файл и выберите «Свойства».

2. На вкладке «Безопасность каталога» или «Безопасность файлов» в разделе «Безопасная связь» нажмите «Изменить».

3. В поле «Безопасная связь» установите флажок «Требовать безопасный канал (SSL)».

4. Если требуется 128-битное шифрование, установите флажок «Требовать 128-битное шифрование».

5.Щелкните ОК.

Источник