最近,我的 PCI 评估员告诉我,我的服务器容易受到 BEAST 攻击,因此我失败了。我做了功课,想将我们的网络服务器更改为首选 RC4 密码而不是 CBC。我遵循了能找到的所有指南...
我将弱于 128 位加密的注册表项更改为 Enabled = 0。完全删除了弱加密的注册表项。我下载了 IISCrypto,并取消选中了除 RC4 128 密码和三重 DES 168 之外的所有内容。
我的 Web 服务器仍然偏向于 AES-256SHA。IIS 6.0 中是否有一个技巧可以让 Web 服务器偏向于 RC4 密码,而我还没搞清楚?似乎在 IIS 7 中他们让这个问题很容易解决,但这现在对我没有帮助!
答案1
来自上面的链接:
注意:遗憾的是,上述解决方案不适用于 Windows Server 2003/Windows XP,密码套件优先级是硬编码的。在 Windows Server 2003 上,他们可能必须禁用基于 CBC 的密码;然而,这可能会导致与尝试连接到这些服务器的客户端不兼容。
还值得注意的是:如果 SSL 仅用于网站以外的其他用途(电子邮件客户端、vpn 等),则不易受到 BEAST 攻击。客户端必须使用浏览器进行连接。
MS12-006 实现了一种针对 XP/2003 机器缓解 BEAST 的方法,但某些客户端应用程序可能会存在问题。 有关详细信息,请参阅此 MSDN 文章。