我正在运行带有 IIS7 的 Windows 2008 服务器。我需要使用 SSL 3.0 来满足 PCI 合规性,但每当我阅读有关使用它的文章时,所有文章都解释要禁用 SSL 2.0。如果我这样做,IIS 会从那时起自动使用 SSL 3.0 吗?
这里的注册表中[HKey_Local_Machine\System\CurrentControlSet\Control\SecurityProviders \SCHANNEL\Protocols]只有一个SSL 2.0文件夹Client,里面有一个文件夹,对吗?不应该有一个SSL 3.0文件夹吗?
答案1
是的,禁用 SSL 2.0 将确保 IIS 仅使用 SSL 3.0 或 TLS 1.0。您还可以禁用单个密码算法,以确保 SSL3/TLS 仅使用可用的“最佳”算法,尽管如果您从 IIS SSL 配置中的 GUI 中选择“需要 128 位加密”,这实际上不是一个实际问题。SSL3 和 TLS 中的所有 >128 位算法都是“强大的”,没有实际突破,除非您有非常具体的监管要求,否则可以安全使用。