Мне нужно настроить IIS 7.5 (Server 2008 R2) на соответствие FIPS 140.2.
В частности, это включает в себя отключение всех протоколов SSL, кроме TLS 1.0.
Я установил следующие ключи реестра:
HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Server
HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Server
HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\PCT 1.0\Server
на Включено (DWORD) = 0 согласно это КБ, но Проверка SSL Labs говорит, что включена поддержка обновления SSL 2.0+. (Все, кроме этого, и TLS 1.0 недоступен, так что мы кое-что уходим). Там также написано: «Готово к FIPS - нет» - предположительно потому, что поддержка обновления SSL 2.0+ все еще включена.
serverniff.net говорит, что SSL 2.0 отключен, и ничего не говорит о поддержке обновления SSL 2.0+. Может ли это быть аномалией с проверкой SSL Labs?
Это означает, что сервер поддерживает квитирование SSLv2, хотя сам SSLv2 может не поддерживать. По сути, это оптимизация. Вместо того, чтобы клиент сначала запрашивал SSLv2 (с подтверждением SSLv2) и терпел неудачу (если сервер не поддерживает его), а затем должен запрашивать SSLv3 или лучше (с подтверждением SSLv3), клиент может использовать рукопожатие SSLv2, чтобы указать поддержку новые протоколы.
Вы можете подтвердить, что это проблема SSL Labs Checker, изменив конфигурацию в своем браузере так, чтобы он принимал только SSL 2.0. Если вы можете подключиться к своему сайту, значит, SSL 2.0 все еще включен. В противном случае он отключен.
Компания под названием Nartac Software делает бесплатный IIS Crypto инструмент настройки, который можно использовать для включения / отключения протоколов и наборов шифров в IIS в Windows 2003, 2008 и 2012. Он также поставляется с шаблонами для настройки IIS в соответствии с FIPS 140.2, интегрируется с Qualys SSL анализатор сайтов для тестирования общедоступных URL-адресов и список других инструментов проверки, которые можно использовать для проверки внутренних сайтов.