La désactivation de SSL 2.0 semble être une très mauvaise idée; Es-tu sûr de vouloir faire ça?
blueberryfields
6
@blueberryfields: SSLv2 est ancien , la version actuelle est TLSv1.1 (TLSv1 = SSLv3) et a des failles de sécurité connues
LapTop006
14
La désactivation de SSL 2.0 est une très bonne idée (et nécessaire pour passer un test de conformité PCI).
Robert
Si vous avez besoin de la base de connaissances mise à jour de MS, essayez ce support.microsoft.com/en-us/kb/245030 C'est celui que IIS Crypto utilise ...
Créez / modifiez la valeur Enabled, tapez DWORD, valeur "0"
Redémarrer
Remarques: Le même proceedure appliqué aux noms clés PCT 1.0, SSL 2.0, SSL 3.0, TLS 1.0. Dans les versions plus récentes de Windows, certains d'entre eux sont désactivés par défaut, ce qui dépend de la version.
Cliquez avec le bouton droit sur le dossier SSL 2.0 et sélectionnez Nouveau, puis cliquez sur Clé. Nommez le nouveau dossier Serveur.
Dans le dossier Serveur, cliquez sur le menu Edition, sélectionnez Nouveau, puis cliquez sur Valeur DWORD (32 bits).
Entrez Enabled comme nom et appuyez sur Entrée.
Assurez-vous qu'il affiche 0x00000000(0) sous la colonne Données (il devrait par défaut). Si ce n'est pas le cas, cliquez avec le bouton droit et sélectionnez Modifier et entrez 0 comme données de valeur.
Redémarrer le PC.
une belle explication peut être trouvée ici, y compris comment désactiver les autres chiffres faibles
et maintenant, je suppose que nous devons également commencer à désactiver SSLv3.0
Sverre
6
Si vous n'êtes pas à l'aise de modifier manuellement le registre, vous pouvez utiliser un script Power Shell ou un programme GUI pour faire tout cela pour vous.
Personnellement, j'aime utiliser IIS Crypto, il est si facile et vous permet de commander et de choisir des suites de chiffrement, des chiffrements, etc. Vous pouvez simplement utiliser les «meilleures pratiques» si vous n'êtes pas sûr de ce que vous faites.
De plus, une fois le redémarrage du serveur terminé, rendez-vous sur SSL Labs pour tester votre serveur.
Réponses:
regeditAccédez aux clés ou créez-les si nécessaire:
Créez / modifiez la valeur
Enabled, tapez DWORD, valeur "0"Remarques: Le même proceedure appliqué aux noms clés
PCT 1.0,SSL 2.0,SSL 3.0,TLS 1.0. Dans les versions plus récentes de Windows, certains d'entre eux sont désactivés par défaut, ce qui dépend de la version.Référence: http://support.microsoft.com/kb/187498
la source
C'est quelque chose que vous devez corriger dans regedit,
regedit peut être ouvert avec "start", "run",
regeditune fois là-bas, trouvez cette entrée:
HKey_Local_Machine\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0Cliquez avec le bouton droit sur le dossier SSL 2.0 et sélectionnez Nouveau, puis cliquez sur Clé. Nommez le nouveau dossier Serveur.
Dans le dossier Serveur, cliquez sur le menu Edition, sélectionnez Nouveau, puis cliquez sur Valeur DWORD (32 bits).
Entrez Enabled comme nom et appuyez sur Entrée.
Assurez-vous qu'il affiche
0x00000000(0) sous la colonne Données (il devrait par défaut). Si ce n'est pas le cas, cliquez avec le bouton droit et sélectionnez Modifier et entrez 0 comme données de valeur.Redémarrer le PC.
une belle explication peut être trouvée ici, y compris comment désactiver les autres chiffres faibles
https://www.sslshopper.com/article-how-to-disable-ssl-2.0-in-iis-7.html
la source
Si vous n'êtes pas à l'aise de modifier manuellement le registre, vous pouvez utiliser un script Power Shell ou un programme GUI pour faire tout cela pour vous.
Il y a un excellent script par Alexnder Hass ici - Configurez votre IIS pour SSL Perfect Forward Secrecy et TLS 1.2
Personnellement, j'aime utiliser IIS Crypto, il est si facile et vous permet de commander et de choisir des suites de chiffrement, des chiffrements, etc. Vous pouvez simplement utiliser les «meilleures pratiques» si vous n'êtes pas sûr de ce que vous faites.
De plus, une fois le redémarrage du serveur terminé, rendez-vous sur SSL Labs pour tester votre serveur.
Bonne chance!
la source