В моем Windows Server 2008R2 теперь есть протокол SSL v2. Из-за нарушения безопасности я попытался отключить SSL v2.
Так следует ли мне включить SSL v3 или сразу перейти к TLS 1.1 \ TLS 1.2?
Если я отключу SSL v2 и не включу ни одну из более поздних версий, возникнут ли проблемы с безопасностью?
Да, ты должен отключить SSLv3 в пользу TLSv1.1 +. SSLv3 и TLS1.0 считаются уязвимыми к "Добавление Oracle к устаревшему шифрованию с пониженной версией" Атака человек-посередине, которая может привести к раскрытию ваших секретных данных (например, паролей) злоумышленнику ...
Если у вас нет конкретной причины этого не делать (например, вам необходимо поддерживать устаревшие клиенты), может быть лучше включить максимально возможную версию TLS (например, TLSv1.2) и отключить все остальное (и обязательно убедитесь, что вы отключили как SSLv2, так и SSLv3).
Вероятно, вы также захотите настроить (если сможете) конкретные используемые шифры. Я не смог найти ничего особенного для Windows, но Mozilla Серверный TLS может быть полезно.
Они особенно рекомендуют использовать следующие шифры:
ECDHE-ECDSA-AES256-GCM-SHA384: ECDHE-RSA-AES256-GCM-SHA384: ECDHE-ECDSA-CHACHA20-POLY1305: ECDHE-RSA-CHACHA20-POLY1305: ECDHE-ECDSA-GCMA-GCM-ECDSA-GCMA-GCMA-ECDHE-SH125-GCM AES128-GCM-SHA256: ECDHE-ECDSA-AES256-SHA384: ECDHE-RSA-AES256-SHA384: ECDHE-ECDSA-AES128-SHA256: ECDHE-RSA-AES128-SHA256
Они также рекомендуют использовать TLSv1.2 и убедиться, что вы используете ключи RSA длиной не менее 2048 бит.
SSLv3 уязвим для ПУДЕЛЬ и другие важные уязвимости.
Вам действительно стоит перейти на TLS v1.1 +