Quelqu'un sait comment désactiver certaines versions de SSL et n'en activer que d'autres dans IIS 7.5?
Quelqu'un sait comment désactiver certaines versions de SSL et n'en activer que d'autres dans IIS 7.5?
Réponses:
regedit
Accédez aux clés ou créez-les si nécessaire:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Server
Créez / modifiez la valeur Enabled
, tapez DWORD, valeur "0"
Remarques: Le même proceedure appliqué aux noms clés PCT 1.0
, SSL 2.0
, SSL 3.0
, TLS 1.0
. Dans les versions plus récentes de Windows, certains d'entre eux sont désactivés par défaut, ce qui dépend de la version.
Référence: http://support.microsoft.com/kb/187498
C'est quelque chose que vous devez corriger dans regedit,
regedit peut être ouvert avec "start", "run", regedit
une fois là-bas, trouvez cette entrée:
HKey_Local_Machine\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0
Cliquez avec le bouton droit sur le dossier SSL 2.0 et sélectionnez Nouveau, puis cliquez sur Clé. Nommez le nouveau dossier Serveur.
Dans le dossier Serveur, cliquez sur le menu Edition, sélectionnez Nouveau, puis cliquez sur Valeur DWORD (32 bits).
Entrez Enabled comme nom et appuyez sur Entrée.
Assurez-vous qu'il affiche 0x00000000
(0) sous la colonne Données (il devrait par défaut). Si ce n'est pas le cas, cliquez avec le bouton droit et sélectionnez Modifier et entrez 0 comme données de valeur.
Redémarrer le PC.
une belle explication peut être trouvée ici, y compris comment désactiver les autres chiffres faibles
https://www.sslshopper.com/article-how-to-disable-ssl-2.0-in-iis-7.html
Si vous n'êtes pas à l'aise de modifier manuellement le registre, vous pouvez utiliser un script Power Shell ou un programme GUI pour faire tout cela pour vous.
Il y a un excellent script par Alexnder Hass ici - Configurez votre IIS pour SSL Perfect Forward Secrecy et TLS 1.2
Personnellement, j'aime utiliser IIS Crypto, il est si facile et vous permet de commander et de choisir des suites de chiffrement, des chiffrements, etc. Vous pouvez simplement utiliser les «meilleures pratiques» si vous n'êtes pas sûr de ce que vous faites.
De plus, une fois le redémarrage du serveur terminé, rendez-vous sur SSL Labs pour tester votre serveur.
Bonne chance!