目前絕大多數的憑證都是採用 SSL v3 協定來進行加密,所以在資安的角度做法就是關閉 SSL v2 協定,即使關閉 SSL v2 還是可以透過 SSL v3 來進行通訊連線
在 client IE 支援的部分從 IE6 開始就已經同時支援 SSL v2 及 SSL v3,所以不必擔心關閉 SSL v2 會有瀏覽器不相容的問題。
在此篇示範在 IIS 中關閉 SSL v2 協定
適用範圍 : IIS5 ~ IIS7
setp.1 加入機碼
HKey_Local_Machine\System\CurrentControlSet\Control\SecurityProviders \SCHANNEL\Protocols\PCT 1.0\Server
setp.2 於新建的機碼內加入 DWORD 參數值
Enabled = 0
或是可直接下載本站 regedit 登入檔:Disable_IIS7_SSLv2.reg
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Server]
"Enabled"=dword:00000000 
setp.3 必須重新開機使其生效
可以利用這個網站確認SSL版本的狀況 SSL Configurations Checker
參考資料:
How to disable PCT 1.0, SSL 2.0, SSL 3.0, or TLS 1.0 in Internet Information Services
http://blog.miniasp.com/post/2010/03/10/How-to-disable-SSL-v2-in-IIS-5-6-7.aspx
Orignal From: 關閉 IIS6 / IIS7 的 SSL v2 加密-降低網站資安風險
沒有留言:
張貼留言