Wie deaktiviere ich SSLv2 oder SSLv3?

17

Weiß jemand, wie man bestimmte SSL-Versionen deaktiviert und nur andere in IIS 7.5 aktiviert?

ssl  iis-7.5 
user3386733
quelle
Das Deaktivieren von SSL 2.0 klingt nach einer wirklich schlechten Idee. Sind Sie sicher, dass Sie dies tun möchten?
Blueberryfields
6
@blueberryfields: SSLv2 ist alte , aktuelle Version ist TLSv1.1 (TLSv1 = SSLv3) und hat Sicherheitslücken bekannt
LapTop006
14
Das Deaktivieren von SSL 2.0 ist eine sehr gute Idee (und erforderlich, um einen PCI-Konformitätstest zu bestehen).
Robert
Wenn Sie die aktualisierte KB von MS benötigen, versuchen Sie diese support.microsoft.com/en-us/kb/245030 Es ist die, die IIS Crypto verwendet ...
Carlos Garcia

Antworten:

24
  1. Öffnen regedit

  2. Navigieren Sie nach Bedarf zu den Schlüsseln oder erstellen Sie sie:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Server

  3. Erstelle / bearbeite den Wert Enabled, tippe DWORD, Wert "0"

  4. Starten Sie neu

Weitere Informationen: Die gleiche proceedure auf Schlüsselnamen angewendet PCT 1.0, SSL 2.0, SSL 3.0, TLS 1.0. In neueren Versionen von Windows sind einige davon standardmäßig deaktiviert - abhängig von der jeweiligen Version.

Referenz: http://support.microsoft.com/kb/187498

Chris S
quelle
8

Dies ist etwas, das Sie in regedit beheben müssen,

regedit kann mit "start", "run", regedit

Dort angekommen, finden Sie diesen Eintrag:

HKey_Local_Machine\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0

Klicken Sie mit der rechten Maustaste auf den SSL 2.0-Ordner, wählen Sie Neu aus und klicken Sie dann auf Schlüssel. Nennen Sie den neuen Ordner Server.

Klicken Sie im Ordner Server auf das Menü Bearbeiten, wählen Sie Neu aus, und klicken Sie auf DWORD-Wert (32-Bit).

Geben Sie Aktiviert als Namen ein und drücken Sie die Eingabetaste.

Stellen Sie sicher, dass 0x00000000in der Spalte Daten (0) angezeigt wird (dies sollte standardmäßig der Fall sein). Ist dies nicht der Fall, klicken Sie mit der rechten Maustaste und wählen Sie Ändern, und geben Sie 0 als Wert ein.

Starte den Computer neu.

Hier finden Sie eine nette Erklärung, unter anderem, wie Sie andere schwache Chiffren deaktivieren können

https://www.sslshopper.com/article-how-to-disable-ssl-2.0-in-iis-7.html

Sverre
quelle
und jetzt müssen wir wohl auch SSLv3.0 deaktivieren
Sverre
6

Wenn Sie die Registrierung nicht manuell bearbeiten möchten, können Sie entweder ein Power-Shell-Skript oder ein GUI-Programm verwenden, um dies alles für Sie zu erledigen.

Hier gibt es ein großartiges Skript von Alexnder Hass - Richten Sie Ihren IIS für SSL Perfect Forward Secrecy und TLS 1.2 ein

Ich persönlich benutze gerne IIS Crypto. Es ist so einfach, dass Sie Crypto-Suites, Chiffren usw. bestellen und auswählen können. Sie können nur die 'Best Practices' anwenden, wenn Sie sich nicht sicher sind, was Sie tun.

Bildbeschreibung hier eingeben

Gehen Sie nach dem Neustart des Servers zu SSL Labs , um den Server zu testen.

Viel Glück!

RobDigital
quelle
Wirklich schöne App.
Carlos Garcia
Durch die Nutzung unserer Website bestätigen Sie, dass Sie unsere Cookie-Richtlinie und Datenschutzrichtlinie gelesen und verstanden haben.
Licensed under cc by-sa 3.0 with attribution required.