题 如何禁用SSLv2或SSLv3?


任何人都知道如何禁用某些SSL版本并仅启用IIS 7.5中的其他版本?


17
2018-03-10 03:20




禁用SSL 2.0听起来真的很糟糕;你确定你要这么做吗? - blueberryfields
@blueberryfields:SSLv2是 古,当前版本是TLSv1.1(TLSv1 = SSLv3),并且已知安全漏洞 - LapTop006
禁用SSL 2.0是一个非常好的主意(并且需要通过PCI兼容性测试)。 - Robert
如果您需要MS中更新的KB,请尝试此操作 support.microsoft.com/en-us/kb/245030 这是IIS Crypto使用的那个...... - Carlos Garcia


答案:


  1. 打开 regedit
  2. 根据需要导航到或创建密钥:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Server
    
  3. 创建/编辑值 Enabled,键入DWORD,值“0”

  4. 重启

注意:相同的过程适用于键名 PCT 1.0SSL 2.0SSL 3.0TLS 1.0。在较新版本的Windows中,默认情况下禁用其中一些 - 这取决于版本。

参考: http://support.microsoft.com/kb/187498


24
2018-03-10 03:29





这是您需要在注册表中修复的内容,

可以用“开始”,“运行”打开注册表, regedit

在那里,找到这个条目:

HKey_Local_Machine\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0

右键单击SSL 2.0文件夹并选择“新建”,然后单击“密钥”。将新文件夹命名为Server。

在Server文件夹中,单击Edit菜单,选择New,然后单击DWORD(32位)Value。

输入Enabled作为名称,然后按Enter键。

确保它显示 0x00000000 (0)在数据列下(默认情况下应该)。如果没有,请右键单击并选择“修改”,然后输入0作为“数值”数据。

重启电脑。

这里可以找到一个很好的解释,包括如何禁用其他弱密码

https://www.sslshopper.com/article-how-to-disable-ssl-2.0-in-iis-7.html


8
2018-03-10 03:58



现在,我想我们也必须开始禁用SSLv3.0 - Sverre


如果您不熟悉手动编辑注册表,可以使用电源shell脚本或GUI程序为您完成所有这些操作。

Alexnder Hass有一个很棒的剧本 在这里 - 设置您的IIS以获得SSL Perfect Forward Secrecy和TLS 1.2

我个人喜欢用 IIS加密 它非常简单,让您可以订购并选择加密套件,密码等。如果您不确定自己在做什么,可以使用“最佳实践”。

enter image description here

此外,一旦完成重新启动服务器,请转到 SSL实验室 测试你的服务器。

祝好运!


6
2017-09-23 16:00



非常好的应用程序。 - Carlos Garcia