我需要配置 IIS 7.5(Server 2008 R2)以符合 FIPS 140.2。
具体来说,这涉及禁用除 TLS 1.0 之外的所有 SSL 协议。
我已设置以下注册表项:
HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Server
HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Server
HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\PCT 1.0\Server
按照 Enabled(DWORD) = 0此知识库, 但SSL Labs 的检查器表示“SSL 2.0+ 升级支持”已启用。(除此以外,TLS 1.0 不可用,因此我们正在取得进展)。它还表示“FIPS 就绪 - 否” - 大概是因为 SSL 2.0+ 升级支持仍处于启用状态。
serversniff.net说 SSL 2.0 已关闭,但未提及任何有关 SSL 2.0+ 升级支持的信息。这可能是 SSL Labs 检查器的异常吗?
答案1
这意味着服务器支持 SSLv2 握手,即使它本身可能不支持 SSLv2。本质上这是一种优化。客户端可以使用 SSLv2 握手来表示对较新协议的支持,而不是先请求 SSLv2(使用 SSLv2 握手)并失败(如果服务器不支持),然后再请求 SSLv3 或更高版本(使用 SSLv3 握手)。
答案2
您可以通过将浏览器中的配置更改为仅接受 SSL 2.0 来确认这是 SSL Labs Checker 的问题。如果您可以连接到您的网站,则 SSL 2.0 仍处于启用状态。否则,它已被禁用。
答案3
Nartac 软件公司免费提供IIS 加密配置工具,可用于在 Windows 2003、2008 和 2012 上的 IIS 中启用/禁用协议和密码套件。它还附带用于配置 IIS 以符合 FIPS 140.2 标准的模板,与Qualys SSL站点分析器用于测试公共 URL,并且列出了其他可用于验证内部站点的验证工具。