Недавно мой специалист по оценке PCI сообщил мне, что мои серверы уязвимы для BEAST, и подвел меня. Я сделал домашнее задание и хочу изменить наши веб-серверы, чтобы они предпочитали шифры RC4, а не CBC. Я следил за каждым гидом, который мог найти ...
Я изменил свои ключи reg для моего более слабого, чем 128-битное шифрование, на Enabled = 0. полностью удалил ключи reg для более слабого шифрования. Я загрузил IISCrypto и снял все флажки, кроме шифров RC4 128 и тройного DES 168.
Мой веб-сервер по-прежнему предпочитает AES-256SHA. Есть ли в IIS 6.0 уловка, заставляющая ваши веб-серверы предпочитать шифры RC4, о которых я не разбираюсь? Похоже, что в IIS 7 это очень легко исправить, но сейчас это мне не помогает!
Статья MSDN о смягчении последствий BEAST
По ссылке выше:
ПРИМЕЧАНИЕ. К сожалению, приведенное выше решение не применимо к Windows Server 2003 / Windows XP, приоритет набора шифров жестко запрограммирован. В Windows Server 2003 им, вероятно, придется отключить шифры на основе CBC; однако это может вызвать несовместимость с клиентами, пытающимися подключиться к этим серверам.
Также стоит отметить: если SSL используется только на чем-то отличном от веб-сайта (почтовый клиент, vpn и т. Д.), Он не уязвим для атак BEAST. Клиент должен подключаться к браузеру.
В MS12-006 реализован метод устранения BEAST для компьютеров XP / 2003, но некоторые клиентские приложения могут иметь проблемы. Подробнее см. В этой статье MSDN.