spoulson Asked: 2009-08-04 06:16:54 +0800 CST2009-08-04 06:16:54 +0800 CST 2009-08-04 06:16:54 +0800 CST 如何将 SSL/TLS 连接限制为至少 128 位加密? 772 当我为我的公共 Web 服务器订购 SSL 证书时,我如何确定 Web 服务器(在我的情况下为 IIS 6)将只允许 SSL/TLS 客户端连接支持我们的至少 128 位对称加密的公司标准. 我知道您可以购买支持 128 位的 SSL 证书,但在握手期间,客户端可能会选择将连接降级到 SSLv2 并使用 40 位加密运行。 如何强制客户端必须运行 128 位或更高版本? iis ssl encryption https tls 3 个回答 Voted Best Answer August 2009-08-04T06:41:43+08:002009-08-04T06:41:43+08:00 通过复选框强制执行 128 位加密密钥是在您的网络服务器上强制执行强 SSL 的第 1 步,但如果没有在注册表中明确禁用弱加密算法,客户端可以请求使用不太安全的加密方法(同时使用 128-位长度)。这是用于编辑注册表的 KB http://support.microsoft.com/kb/245030。 但是,我遵循了这个,重新扫描了漏洞,发现我错过了一些,所以这里有一篇文章可以更好地解释要关闭的内容:http: //blog.zenone.org/2009/03/pci-compliance-disable-sslv2-和-weak.html。完成后您需要重新启动才能使更改生效。 cji 2009-08-04T06:42:52+08:002009-08-04T06:42:52+08:00 您可以应用特定的注册表项来禁用 SSLv2 和 IIS 中的任何弱密码。 要禁用 SSLv2,请应用以下注册表更改: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\PCT 1.0\Server] “启用”=dword:00000000 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Server] “启用”=dword:00000000 要禁用弱密码,请应用以下注册表更改: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\DES 56/56] “启用”=dword:00000000 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\NULL] “启用”=dword:00000000 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC2 40/128] “启用”=dword:00000000 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC2 56/128] “启用”=dword:00000000 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 40/128] “启用”=dword:00000000 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 56/128] “启用”=dword:00000000 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 64/128] “启用”=dword:0000000 来源- 此页面还列出了如何在 Apache 中禁用 SSLv2/弱密码 要测试配置,您可以使用 OpenSSL、THCSSLCheck 工具或新的SSL Labs 项目 Sam Cogan 2009-08-04T06:23:53+08:002009-08-04T06:23:53+08:00 您可以通过执行以下操作在 IIS 中强制执行 128 位加密: 1.在 IIS 管理器中,双击本地计算机,然后右键单击所需的网站、目录或文件,然后单击属性。 2.在目录安全或文件安全选项卡的安全通信下,单击编辑。 3.在安全通信框中,选中需要安全通道 (SSL) 复选框。 4.如果需要 128 位加密,请选中需要 128 位加密复选框。 5.单击确定。 资源
通过复选框强制执行 128 位加密密钥是在您的网络服务器上强制执行强 SSL 的第 1 步,但如果没有在注册表中明确禁用弱加密算法,客户端可以请求使用不太安全的加密方法(同时使用 128-位长度)。这是用于编辑注册表的 KB http://support.microsoft.com/kb/245030。
但是,我遵循了这个,重新扫描了漏洞,发现我错过了一些,所以这里有一篇文章可以更好地解释要关闭的内容:http: //blog.zenone.org/2009/03/pci-compliance-disable-sslv2-和-weak.html。完成后您需要重新启动才能使更改生效。
您可以应用特定的注册表项来禁用 SSLv2 和 IIS 中的任何弱密码。
要禁用 SSLv2,请应用以下注册表更改:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\PCT 1.0\Server]
“启用”=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Server]
“启用”=dword:00000000
要禁用弱密码,请应用以下注册表更改:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\DES 56/56]
“启用”=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\NULL]
“启用”=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC2 40/128]
“启用”=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC2 56/128]
“启用”=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 40/128]
“启用”=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 56/128]
“启用”=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 64/128]
“启用”=dword:0000000
来源- 此页面还列出了如何在 Apache 中禁用 SSLv2/弱密码
要测试配置,您可以使用 OpenSSL、THCSSLCheck 工具或新的SSL Labs 项目
您可以通过执行以下操作在 IIS 中强制执行 128 位加密:
1.在 IIS 管理器中,双击本地计算机,然后右键单击所需的网站、目录或文件,然后单击属性。
2.在目录安全或文件安全选项卡的安全通信下,单击编辑。
3.在安全通信框中,选中需要安全通道 (SSL) 复选框。
4.如果需要 128 位加密,请选中需要 128 位加密复选框。
5.单击确定。
资源