SSLv2 या SSLv3 को कैसे निष्क्रिय करें?


17

किसी को पता है कि कुछ एसएसएल संस्करणों को निष्क्रिय कैसे करें और केवल आईआईएस 7.5 में दूसरों को सक्षम करें?


SSL 2.0 को अक्षम करना वास्तव में बुरा विचार है; क्या आप वास्तव में इसे करना चाहते हैं?
ब्लूबेरीफील्ड्स

6
@blueberryfields: SSLv2 प्राचीन है , वर्तमान संस्करण TLSv1.1 (TLSv1 = SSLv3) है, और ज्ञात सुरक्षा छेद हैं
LapTop006

14
SSL 2.0 को अक्षम करना एक बहुत अच्छा विचार है (और PCI अनुपालन परीक्षण पास करने के लिए आवश्यक है)।
रॉबर्ट

यदि आपको MS से अपडेट किए गए KB की आवश्यकता है, तो इस support.microsoft.com/en-us/kb/245030 को आज़माएं यह वह है जिसे IIS क्रिप्टो उपयोग करता है ...
कार्लोस गार्सिया

जवाबों:


24
  1. खुला हुआ regedit
  2. आवश्यकतानुसार नेविगेट या कुंजी बनाएँ:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Server
    
  3. मान बनाएँ / संपादित करें Enabled, DWORD लिखें, मान "0"

  4. रीबूट

नोट: एक ही प्रक्रिया कुंजी नाम के लिए आवेदन किया PCT 1.0, SSL 2.0, SSL 3.0, TLS 1.0। विंडोज के नए संस्करणों में इनमें से कुछ डिफ़ॉल्ट रूप से अक्षम हैं - जो कि किस संस्करण पर निर्भर करता है।

संदर्भ: http://support.microsoft.com/kb/187498


8

यह कुछ ऐसा है जिसे आपको regedit में ठीक करने की आवश्यकता है,

regedit को "स्टार्ट", "रन" के साथ खोला जा सकता है: regedit

एक बार वहाँ, इस प्रविष्टि को ढूंढें:

HKey_Local_Machine\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0

SSL 2.0 फ़ोल्डर पर राइट-क्लिक करें और नया चुनें और फिर Key पर क्लिक करें। नए फ़ोल्डर सर्वर का नाम।

सर्वर फ़ोल्डर के अंदर, संपादन मेनू पर क्लिक करें, नया चुनें, और DWORD (32-बिट) मान पर क्लिक करें।

नाम के रूप में सक्षम दर्ज करें और दर्ज करें मारा।

सुनिश्चित करें कि यह 0x00000000डेटा कॉलम के तहत (0) दिखाता है (यह डिफ़ॉल्ट रूप से होना चाहिए)। यदि यह नहीं है, तो राइट-क्लिक करें और संशोधित करें और मान डेटा के रूप में 0 दर्ज करें।

कंप्यूटर को पुनरारंभ।

एक अच्छा स्पष्टीकरण यहाँ पाया जा सकता है, जिसमें अन्य कमजोर सिफर को निष्क्रिय करना शामिल है

https://www.sslshopper.com/article-how-to-disable-ssl-2.0-in-iis-7.html


और अब, मैं हम भी SSLv3.0 अक्षम करने शुरू कर दिया है लगता है
Sverre

6

यदि आप रजिस्ट्री को मैन्युअल रूप से संपादित करने में सहज नहीं हैं, तो आप यह सब करने के लिए पावर शेल स्क्रिप्ट या GUI प्रोग्राम का उपयोग कर सकते हैं।

अलेक्जेंडर हस द्वारा यहां एक महान स्क्रिप्ट है - अपने आईआईएस को एसएसएल परफेक्ट फॉरवर्ड सेक्रेसी और टीएलएस 1.2 के लिए सेट करें

मैं व्यक्तिगत रूप से आईआईएस क्रिप्टो का उपयोग करना पसंद करता हूं यह इतना आसान है और आपको क्रिप्टो सूट, सिफर आदि का आदेश देने और चुनने की अनुमति देता है। यदि आप सुनिश्चित नहीं हैं कि आप क्या कर रहे हैं तो आप 'सर्वोत्तम प्रथाओं' का उपयोग कर सकते हैं।

यहां छवि विवरण दर्ज करें

इसके अलावा, एक बार जब आप सर्वर को रिबूट कर रहे होते हैं, तो अपने सर्वर का परीक्षण करने के लिए एसएसएल लैब्स पर जाएं।

शुभ लाभ!


वास्तव में अच्छा अनुप्रयोग।
कार्लोस गार्सिया
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.