Comment désactiver SSLv2 ou SSLv3?


17

Quelqu'un sait comment désactiver certaines versions de SSL et n'en activer que d'autres dans IIS 7.5?


La désactivation de SSL 2.0 semble être une très mauvaise idée; Es-tu sûr de vouloir faire ça?
blueberryfields

6
@blueberryfields: SSLv2 est ancien , la version actuelle est TLSv1.1 (TLSv1 = SSLv3) et a des failles de sécurité connues
LapTop006

14
La désactivation de SSL 2.0 est une très bonne idée (et nécessaire pour passer un test de conformité PCI).
Robert

Si vous avez besoin de la base de connaissances mise à jour de MS, essayez ce support.microsoft.com/en-us/kb/245030 C'est celui que IIS Crypto utilise ...
Carlos Garcia

Réponses:


24
  1. Ouvert regedit
  2. Accédez aux clés ou créez-les si nécessaire:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Server
    
  3. Créez / modifiez la valeur Enabled, tapez DWORD, valeur "0"

  4. Redémarrer

Remarques: Le même proceedure appliqué aux noms clés PCT 1.0, SSL 2.0, SSL 3.0, TLS 1.0. Dans les versions plus récentes de Windows, certains d'entre eux sont désactivés par défaut, ce qui dépend de la version.

Référence: http://support.microsoft.com/kb/187498


8

C'est quelque chose que vous devez corriger dans regedit,

regedit peut être ouvert avec "start", "run", regedit

une fois là-bas, trouvez cette entrée:

HKey_Local_Machine\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0

Cliquez avec le bouton droit sur le dossier SSL 2.0 et sélectionnez Nouveau, puis cliquez sur Clé. Nommez le nouveau dossier Serveur.

Dans le dossier Serveur, cliquez sur le menu Edition, sélectionnez Nouveau, puis cliquez sur Valeur DWORD (32 bits).

Entrez Enabled comme nom et appuyez sur Entrée.

Assurez-vous qu'il affiche 0x00000000(0) sous la colonne Données (il devrait par défaut). Si ce n'est pas le cas, cliquez avec le bouton droit et sélectionnez Modifier et entrez 0 comme données de valeur.

Redémarrer le PC.

une belle explication peut être trouvée ici, y compris comment désactiver les autres chiffres faibles

https://www.sslshopper.com/article-how-to-disable-ssl-2.0-in-iis-7.html


et maintenant, je suppose que nous devons également commencer à désactiver SSLv3.0
Sverre

6

Si vous n'êtes pas à l'aise de modifier manuellement le registre, vous pouvez utiliser un script Power Shell ou un programme GUI pour faire tout cela pour vous.

Il y a un excellent script par Alexnder Hass ici - Configurez votre IIS pour SSL Perfect Forward Secrecy et TLS 1.2

Personnellement, j'aime utiliser IIS Crypto, il est si facile et vous permet de commander et de choisir des suites de chiffrement, des chiffrements, etc. Vous pouvez simplement utiliser les «meilleures pratiques» si vous n'êtes pas sûr de ce que vous faites.

entrez la description de l'image ici

De plus, une fois le redémarrage du serveur terminé, rendez-vous sur SSL Labs pour tester votre serveur.

Bonne chance!


Application vraiment sympa.
Carlos Garcia
En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.