Назад | Перейти на главную страницу

Как отключить SSLv2 или SSLv3?

Кто-нибудь знает, как отключить определенные версии SSL и включить другие только в IIS 7.5?

  1. открыто regedit

  2. Перейдите к или при необходимости создайте ключи:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Server

  3. Создать / изменить значение Enabled, введите DWORD, значение "0"

  4. перезагрузка

Примечания: такая же процедура применяется к именам ключей. PCT 1.0, SSL 2.0, SSL 3.0, TLS 1.0. В более новых версиях Windows некоторые из них отключены по умолчанию - это зависит от того, какая версия.

Ссылка: http://support.microsoft.com/kb/187498

Это то, что вам нужно исправить в regedit,

regedit можно открыть с помощью "start", "run", regedit

Оказавшись там, найдите эту запись:

HKey_Local_Machine\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0

Щелкните правой кнопкой мыши папку SSL 2.0 и выберите «Создать», а затем нажмите «Ключ». Назовите новую папку Server.

В папке «Сервер» щелкните меню «Правка», выберите «Создать» и нажмите «Значение DWORD (32-разрядное)».

Введите Enabled в качестве имени и нажмите Enter.

Убедитесь, что он показывает 0x00000000 (0) в столбце «Данные» (должно быть по умолчанию). Если это не так, щелкните правой кнопкой мыши, выберите «Изменить» и введите 0 в качестве данных значения.

Перезагрузите компьютер.

здесь можно найти хорошее объяснение, в том числе как отключить другие слабые шифры

https://www.sslshopper.com/article-how-to-disable-ssl-2.0-in-iis-7.html

Если вам неудобно редактировать реестр вручную, вы можете использовать сценарий Power Shell или программу с графическим интерфейсом, чтобы сделать все это за вас.

Есть отличный сценарий Alexnder Hass здесь - Настройте свой IIS для SSL Perfect Forward Secrecy и TLS 1.2

Мне лично нравится использовать IIS Crypto это так просто и позволяет вам заказывать и выбирать криптографические наборы, шифры и т. д. Если вы не уверены, что делаете, вы можете просто использовать «лучшие практики».

Кроме того, как только вы закончите перезагрузку сервера, перейдите к SSL Labs для тестирования вашего сервера.

Удачи!