SSL Labs 针对我的一个域提供的 SSL 报告表明,在 IIS 10(Windows Server 2016)上使用 TLS 1.2 时,ECDH 密钥重用(ECDH 公共服务器参数重用)正在发生。我已经使用 TestSSLServer 和 testssl.sh 对其进行了验证。
我无法在浩瀚的互联网上找到禁用 IIS 10 上的 ECDH 密钥重用的解决方案。它似乎不适用于 MaximumCacheSize 和 ServerCacheTime。
你们中有人能帮助解决禁用 ECDH 密钥重用的问题吗?(即使已激活某些带有 DHE 的密码套件,Web 服务器也不会重用 DH 密钥。)
谢谢你!
答案1
您可以通过注册表编辑器禁用此功能。只需HKLM\System\CurrentControlSet\Control\SecurityProviders\Schannel\KeyExchangeAlgorithms\ECDH创建一个值(DWORD(32 位)) 命名EphemKeyReuseTime并将其设置为0。
微软倾向于缓存密钥并定期重新生成。