Bagaimana cara menonaktifkan SSLv2 atau SSLv3?

17

Adakah yang tahu cara menonaktifkan versi SSL tertentu dan hanya mengaktifkan yang lain di IIS 7.5?

ssl  iis-7.5 
pengguna3386733
sumber
Menonaktifkan SSL 2.0 terdengar seperti ide yang sangat buruk; Anda yakin ingin melakukan ini?
blueberryfields
6
@blueberryfields: SSLv2 kuno , versi saat ini adalah TLSv1.1 (TLSv1 = SSLv3), dan telah mengetahui celah keamanan
LapTop006
14
Menonaktifkan SSL 2.0 adalah ide yang sangat bagus (dan harus lulus tes kepatuhan PCI).
Robert
Jika Anda memerlukan KB yang diperbarui dari MS, coba ini support.microsoft.com/en-us/kb/245030 Ini yang digunakan IIS Crypto ...
Carlos Garcia

Jawaban:

24
  1. Buka regedit

  2. Arahkan ke, atau buat tombol-tombol seperlunya:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Server

  3. Buat / Edit nilai Enabled, ketik DWORD, nilai "0"

  4. Mulai ulang

Catatan: proceedure yang sama diterapkan untuk nama kunci PCT 1.0, SSL 2.0, SSL 3.0, TLS 1.0. Dalam versi Windows yang lebih baru beberapa di antaranya dinonaktifkan secara default - yang tergantung pada versi apa.

Referensi: http://support.microsoft.com/kb/187498

Chris S
sumber
8

Ini adalah sesuatu yang perlu Anda perbaiki di regedit,

regedit dapat dibuka dengan "start", "run", regedit

sesampai di sana, temukan entri ini:

HKey_Local_Machine\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0

Klik kanan pada folder SSL 2.0 dan pilih Baru lalu klik Kunci. Beri nama folder Server baru.

Di dalam folder Server, klik menu Edit, pilih Baru, dan klik Nilai DWORD (32-bit).

Enter Diaktifkan sebagai nama dan tekan Enter.

Pastikan bahwa itu menunjukkan 0x00000000(0) di bawah kolom Data (harus secara default). Jika tidak, klik kanan dan pilih Ubah dan masukkan 0 sebagai data Nilai.

Nyalakan ulang komputernya.

penjelasan yang bagus dapat ditemukan di sini, termasuk cara menonaktifkan sandi lemah lainnya

https://www.sslshopper.com/article-how-to-disable-ssl-2.0-in-iis-7.html

Sverre
sumber
dan sekarang, saya kira kita harus mulai menonaktifkan SSLv3.0 juga
Sverre
6

Jika Anda tidak nyaman mengedit registri secara manual, Anda dapat menggunakan skrip shell daya atau program GUI untuk melakukan semua ini untuk Anda.

Ada skrip hebat oleh Alexnder Hass di sini - Siapkan IIS Anda untuk SSL Perfect Forward Secrecy dan TLS 1.2

Saya pribadi suka menggunakan IIS Crypto sangat mudah dan memungkinkan Anda memesan dan memilih suite crypto, sandi, dll. Anda bisa menggunakan 'praktik terbaik' jika Anda tidak yakin apa yang Anda lakukan.

masukkan deskripsi gambar di sini

Selain itu, setelah Anda selesai me-reboot server, buka Lab SSL untuk menguji server Anda.

Semoga berhasil!

Rob Digital
sumber
Aplikasi yang sangat bagus.
Carlos Garcia
Dengan menggunakan situs kami, Anda mengakui telah membaca dan memahami Kebijakan Cookie dan Kebijakan Privasi kami.
Licensed under cc by-sa 3.0 with attribution required.