Настройка IIS 7.5 для совместимости с FIPS 140.2

Question

Настройка IIS 7.5 для совместимости с FIPS 140.2

Мне нужно настроить IIS 7.5 (Server 2008 R2), чтобы он соответствовал требованиям FIPS 140.2.

В частности, это включает в себя отключение всех протоколов SSL, кроме TLS 1.0.

Я установил следующие ключи реестра:

HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Server
HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Server
HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\PCT 1.0\Server

для Enabled(DWORD) = 0 для этого килобайта, но проверка SSL Labs говорит, что "поддержка обновления SSL 2.0+" включена. (Все, кроме этого и TLS 1.0 недоступно, поэтому мы кое-что получим). В нем также говорится "FIPS ready - no" - предположительно, потому что поддержка обновления до SSL 2.0+ все еще включена.

Serversniff.net говорит, что SSL 2.0 отключен, и ничего не говорит о поддержке обновлений SSL 2.0+. Может ли это быть аномалией с проверкой SSL Labs?

3

ssl iis-7.5 tls fips-140-2

Источник

tomfanning 04 июн '10 в 09:22

3 ответа

Решение

Вы можете подтвердить, что это проблема с SSL Labs Checker, изменив конфигурацию в своем браузере, чтобы принимать только SSL 2.0. Если вы можете подключиться к своему сайту, тогда SSL 2.0 все еще включен. В противном случае он отключен.

1

Источник

Robert 10 июн '10 в 15:29

Компания под названием Nartac software выпускает бесплатное средство настройки IIS Crypto, которое можно использовать для включения / отключения протоколов и комплектов шифров в IIS в Windows 2003, 2008 и 2012. Оно также поставляется с шаблонами для настройки IIS на совместимость с FIPS 140.2, интегрируется с анализатор сайтов Qualys SSL для тестирования общедоступных URL-адресов, а также список других инструментов проверки, которые можно использовать для проверки внутренних сайтов.

0

Источник

Greg Bray 29 авг '14 в 01:21

Другие вопросы по тегам ssl iis-7.5 tls fips-140-2

30 июн '10 в 19:18 2010-06-30 19:18 · Accepted Answer · 2010-06-30 19:18

Это означает, что сервер поддерживает рукопожатие SSLv2, даже если он не поддерживает сам SSLv2. По сути это оптимизация. Вместо того, чтобы клиент сначала запрашивал SSLv2 (с рукопожатием SSLv2) и терпел неудачу (если сервер его не поддерживает), а затем запрашивал SSLv3 или лучше (с рукопожатием SSLv3), клиент может использовать рукопожатие SSLv2, чтобы указать поддержку новые протоколы.

http://sourceforge.net/mailarchive/forum.php?thread_name=20100629171623.43012oj4b2hgrzi8%40webmail.mxes.net&forum_name=ssllabs-discuss