我正在使用站点安全测试套件,它说 SSL 2.0 存在已知漏洞,我应该将其更改为 SSL 3.0。
一旦切换到 SSL 3.0,我当前的证书还能起作用吗?
我该如何切换?是否只能在 IIS 中切换,还是我需要更改 Web 应用程序上的任何内容?
谢谢
答案1
IIS 6 默认启用 SSL 2.0 和 SSL 3.0。(IIS 7 也是如此 - 想想看!)客户端和服务器协商确定要使用的 SSL 协议版本。
您的证书仍将有效。禁用 SSL 2.0 不会使您现有的 SSL 证书失效。这是由 IIS 和 OS 网络堆栈处理的协议级事务,因此无需对您的 Web 应用程序进行任何更改。
您可以在 IIS 中禁用 SSL 2.0,这样它将不再在协商期间提供使用该版本的协议;这样做的缺点是,您将无法再与以下浏览器进行通信:仅有的支持 SSL 2.0 协议。(这也是一件好事,因为您将不再受到 SSL 2.0 协议中漏洞的攻击!)
SSL 3.0 协议规范自 1996 年就已经出现,因此,由于不支持 SSL 2.0 而锁定在您网站之外的潜在浏览器范围应该非常小,当然,除非您的网站迎合老式网络浏览器的用户……
更多信息(包括编辑注册表以禁用 SSL 2.0 的说明)可参见Microsoft 支持文章 ID 187498。
如果你真的对整个“协议谈判”过程感到好奇,可以在以下位置找到更多信息和参考资料:Microsoft 支持文章 ID 299520。