2014年9月17日 星期三

關閉 IIS6 / IIS7 的 SSL v2 加密-降低網站資安風險

在資安方面 SSL v2 已被證實在加密過程中是有bug存在的,因此駭客通常能夠對 SSL v2 的封包反解,所以在絕大多數的弱掃軟體都會判別 SSL v2 是中高等級的弱點。

 

目前絕大多數的憑證都是採用 SSL v3 協定來進行加密,所以在資安的角度做法就是關閉 SSL v2 協定,即使關閉 SSL v2 還是可以透過 SSL v3 來進行通訊連線

 

在 client IE 支援的部分從 IE6 開始就已經同時支援 SSL v2 及 SSL v3,所以不必擔心關閉 SSL v2 會有瀏覽器不相容的問題。



 

 

 

在此篇示範在 IIS 中關閉 SSL v2 協定

 

適用範圍 : IIS5 ~ IIS7

 

setp.1 加入機碼

HKey_Local_Machine\System\CurrentControlSet\Control\SecurityProviders \SCHANNEL\Protocols\PCT 1.0\Server

 

setp.2 於新建的機碼內加入 DWORD 參數值

Enabled = 0

 

或是可直接下載本站 regedit 登入檔:Disable_IIS7_SSLv2.reg
Windows Registry Editor Version 5.00 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Server]
"Enabled"=dword:00000000

 

2014-09-17_105335

 

setp.3 必須重新開機使其生效

 

 

 

可以利用這個網站確認SSL版本的狀況 SSL Configurations Checker

 

 

 

 

參考資料:

How to disable PCT 1.0, SSL 2.0, SSL 3.0, or TLS 1.0 in Internet Information Services

http://blog.miniasp.com/post/2010/03/10/How-to-disable-SSL-v2-in-IIS-5-6-7.aspx

Orignal From: 關閉 IIS6 / IIS7 的 SSL v2 加密-降低網站資安風險

沒有留言:

張貼留言