Я отключил SSLv2, и SSLv3 включен. Однако я не могу подключиться к удаленному серверу, который не работает с
Клиент и сервер не могут общаться, потому что у них нет общего алгоритма.
Выполнить проверку SSL (http://www.serversniff.net/sslcheck.php) на удаленном сервере и на нашем, и не заметил ни одного из принимаемых им шифров, которые есть на нашем сервере. Как это можно настроить? (Windows Web Server 2008)
SSL-шифры, принятые удаленным сервером:
DHE-RSA-AES256-SHA
AES256-SHA
EDH-RSA-DES-CBC3-SHA
DES-CBC3-SHA
DHE-RSA-AES128-SHA
AES128-SHA
Наш сервер по умолчанию принимает:
DES-CBC3-SHA
RC4-SHA
RC4-MD5
Если вы не касались конфигурации, по умолчанию включены надежные шифрокомплекты. Список наборов шифров по умолчанию в Vista и Server 2008 включен. MSDN.
То, что вы перечислили, не совсем названия шифровальных наборов, поскольку в них отсутствуют части. AES128-SHA - лишь его часть. Набор шифров состоит из нескольких частей: алгоритм обмена ключами, алгоритм шифрования / дешифрования и алгоритм hmac, поэтому в примере AES128-SHA отсутствует алгоритм обмена ключами. Имя собственное будет TLS_RSA_WITH_AES_128_CBC_SHA.
Я бы порекомендовал ssllabs.com для тестирования общедоступных веб-серверов.
Вы можете найти очень полезный скрипт Python на http://www.thesprawl.org/projects/sslmap/
Я только недавно выполнил эти инструкции (но для сервера 2003).
Как ограничить использование определенных криптографических алгоритмов и протоколов
http://support.microsoft.com/kb/245030
(раздел regedit)
(для серверов 2008 и 2003) Как отключить PCT 1.0, SSL 2.0, SSL 3.0 или TLS 1.0 в Internet Information Services
http://support.microsoft.com/kb/187498
(Я сохранил SSL 3.0 / TLS 1.0)
После внесения этих изменений необходимо перезапустить IIS.