¿Cómo deshabilitar SSLv2 o SSLv3?

17

¿Alguien sabe cómo deshabilitar ciertas versiones de SSL y solo habilitar otras en IIS 7.5?

ssl  iis-7.5 
usuario3386733
fuente
Deshabilitar SSL 2.0 suena como una muy mala idea; ¿Seguro que quieres hacer esto?
blueberryfields
66
@blueberryfields: SSLv2 es antiguo , la versión actual es TLSv1.1 (TLSv1 = SSLv3) y tiene agujeros de seguridad conocidos
LapTop006
14
Deshabilitar SSL 2.0 es una muy buena idea (y se requiere para pasar una prueba de cumplimiento PCI).
Robert
Si necesita la KB actualizada de MS, intente esto support.microsoft.com/en-us/kb/245030 Es el que usa IIS Crypto ...
Carlos Garcia

Respuestas:

24
  1. Abierto regedit

  2. Navegue o cree las claves según sea necesario:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Server

  3. Crear / editar el valor Enabled, escriba DWORD, valor "0"

  4. Reiniciar

Notas: El mismo procedimiento se aplica a los nombres de teclas PCT 1.0, SSL 2.0, SSL 3.0, TLS 1.0. En las versiones más recientes de Windows, algunos de estos están deshabilitados de forma predeterminada, lo que depende de qué versión.

Referencia: http://support.microsoft.com/kb/187498

Chris S
fuente
8

Esto es algo que debes arreglar en regedit,

regedit se puede abrir con "inicio", "ejecutar", regedit

Una vez allí, encuentre esta entrada:

HKey_Local_Machine\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0

Haga clic derecho en la carpeta SSL 2.0 y seleccione Nuevo y luego haga clic en Clave. Nombre de la nueva carpeta Servidor.

Dentro de la carpeta Servidor, haga clic en el menú Editar, seleccione Nuevo y haga clic en Valor DWORD (32 bits).

Ingrese Enabled como nombre y presione Enter.

Asegúrese de que muestra 0x00000000(0) debajo de la columna Datos (debería ser por defecto). Si no es así, haga clic con el botón derecho y seleccione Modificar e ingrese 0 como Información del valor.

Reinicia la computadora.

Aquí se puede encontrar una buena explicación, que incluye cómo deshabilitar otros cifrados débiles

https://www.sslshopper.com/article-how-to-disable-ssl-2.0-in-iis-7.html

Sverre
fuente
y ahora, supongo que tenemos que comenzar a deshabilitar SSLv3.0 también
Sverre
6

Si no se siente cómodo editando manualmente el registro, puede usar un script de Power Shell o un programa GUI para hacer todo esto por usted.

Aquí hay un gran script de Alexnder Hass : configure su IIS para SSL Perfect Forward Secrecy y TLS 1.2

Personalmente, me gusta usar IIS Crypto , es muy fácil y le permite ordenar y elegir conjuntos de cifrado, cifrados, etc. Puede usar las 'mejores prácticas' si no está seguro de lo que está haciendo.

ingrese la descripción de la imagen aquí

Además, una vez que haya terminado de reiniciar el servidor, diríjase a SSL Labs para probar su servidor.

¡Buena suerte!

RobDigital
fuente
Muy buena aplicación.
Carlos García
Al usar nuestro sitio, usted reconoce que ha leído y comprende nuestra Política de Cookies y Política de Privacidad.
Licensed under cc by-sa 3.0 with attribution required.