Windows Server 2012 R2 IIS Слабые шифры, о которых сообщают после блокировки

Question

Windows Server 2012 R2 IIS Слабые шифры, о которых сообщают после блокировки

У меня проблемы с получением Windows Server 2012 R2 64-битной коробки заблокирован. Я использовал инструмент под названием IISCrypto, чтобы сделать коробку FIPS 140 совместимой.

Я вручную проверил записи реестра, и все слабые шифры выглядят отключенными, но Сообщество Retina Network Scanner все еще сообщает, что IIS поддерживает слабые шифры (Enabled=0).

Когда я запускаю SSLScan, я получаю следующее:

Тестирование сервера SSL 127.0.0.1 на port 443 Поддерживаемые серверные шифры:

Failed    SSLv2  168 bits  DES-CBC3-MD5
Failed    SSLv2   56 bits  DES-CBC-MD5
Failed    SSLv2  128 bits  IDEA-CBC-MD5
Failed    SSLv2   40 bits  EXP-RC2-CBC-MD5
Failed    SSLv2  128 bits  RC2-CBC-MD5
Failed    SSLv2   40 bits  EXP-RC4-MD5
Failed    SSLv2  128 bits  RC4-MD5
Failed    SSLv3  256 bits  ADH-AES256-SHA
Failed    SSLv3  256 bits  DHE-RSA-AES256-SHA
Failed    SSLv3  256 bits  DHE-DSS-AES256-SHA
Failed    SSLv3  256 bits  AES256-SHA
Failed    SSLv3  128 bits  ADH-AES128-SHA
Failed    SSLv3  128 bits  DHE-RSA-AES128-SHA
Failed    SSLv3  128 bits  DHE-DSS-AES128-SHA
Failed    SSLv3  128 bits  AES128-SHA
Failed    SSLv3  168 bits  ADH-DES-CBC3-SHA
Failed    SSLv3   56 bits  ADH-DES-CBC-SHA
Failed    SSLv3   40 bits  EXP-ADH-DES-CBC-SHA
Failed    SSLv3  128 bits  ADH-RC4-MD5
Failed    SSLv3   40 bits  EXP-ADH-RC4-MD5
Failed    SSLv3  168 bits  EDH-RSA-DES-CBC3-SHA
Failed    SSLv3   56 bits  EDH-RSA-DES-CBC-SHA
Failed    SSLv3   40 bits  EXP-EDH-RSA-DES-CBC-SHA
Failed    SSLv3  168 bits  EDH-DSS-DES-CBC3-SHA
Failed    SSLv3   56 bits  EDH-DSS-DES-CBC-SHA
Failed    SSLv3   40 bits  EXP-EDH-DSS-DES-CBC-SHA
Failed    SSLv3  168 bits  DES-CBC3-SHA
Failed    SSLv3   56 bits  DES-CBC-SHA
Failed    SSLv3   40 bits  EXP-DES-CBC-SHA
Failed    SSLv3  128 bits  IDEA-CBC-SHA
Failed    SSLv3   40 bits  EXP-RC2-CBC-MD5
Failed    SSLv3  128 bits  RC4-SHA
Failed    SSLv3  128 bits  RC4-MD5
Failed    SSLv3   40 bits  EXP-RC4-MD5
Failed    SSLv3    0 bits  NULL-SHA
Failed    SSLv3    0 bits  NULL-MD5
Failed    TLSv1  256 bits  ADH-AES256-SHA
Failed    TLSv1  256 bits  DHE-RSA-AES256-SHA
Failed    TLSv1  256 bits  DHE-DSS-AES256-SHA
Accepted  TLSv1  256 bits  AES256-SHA
Failed    TLSv1  128 bits  ADH-AES128-SHA
Failed    TLSv1  128 bits  DHE-RSA-AES128-SHA
Failed    TLSv1  128 bits  DHE-DSS-AES128-SHA
Accepted  TLSv1  128 bits  AES128-SHA
Failed    TLSv1  168 bits  ADH-DES-CBC3-SHA
Failed    TLSv1   56 bits  ADH-DES-CBC-SHA
Failed    TLSv1   40 bits  EXP-ADH-DES-CBC-SHA
Failed    TLSv1  128 bits  ADH-RC4-MD5
Failed    TLSv1   40 bits  EXP-ADH-RC4-MD5
Failed    TLSv1  168 bits  EDH-RSA-DES-CBC3-SHA
Failed    TLSv1   56 bits  EDH-RSA-DES-CBC-SHA
Failed    TLSv1   40 bits  EXP-EDH-RSA-DES-CBC-SHA
Failed    TLSv1  168 bits  EDH-DSS-DES-CBC3-SHA
Failed    TLSv1   56 bits  EDH-DSS-DES-CBC-SHA
Failed    TLSv1   40 bits  EXP-EDH-DSS-DES-CBC-SHA
Accepted  TLSv1  168 bits  DES-CBC3-SHA
Failed    TLSv1   56 bits  DES-CBC-SHA
Failed    TLSv1   40 bits  EXP-DES-CBC-SHA
Failed    TLSv1  128 bits  IDEA-CBC-SHA
Failed    TLSv1   40 bits  EXP-RC2-CBC-MD5
Failed    TLSv1  128 bits  RC4-SHA
Failed    TLSv1  128 bits  RC4-MD5
Failed    TLSv1   40 bits  EXP-RC4-MD5
Failed    TLSv1    0 bits  NULL-SHA
Failed    TLSv1    0 bits  NULL-MD5

Prefered Server Cipher(s):

TLSv1  256 bits  AES256-SHA

Что мне не хватает? Спасибо

1

ssl windows-server-2012-r2 iis-8.5 pci-dss

Источник

cjm4189 12 май '15 в 18:53

1 ответ

Решение

Другие вопросы по тегам ssl windows-server-2012-r2 iis-8.5 pci-dss

Ryan Ries 12 май '15 в 19:47 2015-05-12 19:47 · Accepted Answer · 2015-05-12 19:47

Что ж DES-CBC3-SHA ~~является неоднозначным, потому что он не перечисляет алгоритм обмена ключами~~ (вполне уверен, что RSA подразумевается там), но это, вероятно, на что жалуется Retina. Несмотря на то, что в нем написано DES (что, безусловно, НЕ соответствует FIPS), я относительно уверен, что на самом деле он ссылается на 3DES (тройной DES) из-за 168-битного ключа, то есть 56x3. Это просто плохой лейбл.

Если бы Retina была лучшим инструментом, она бы точно сказала, на что жаловалась.

Проблема с использованием таких инструментов, как IISCrypto, заключается в том, что вы не знаете, что он на самом деле делает за кулисами.

Кроме того, вы уверены, что используете версию SSLScan, которая была обновлена для TLS 1.1 и 1.2? Есть версии, плавающие вокруг, которые останавливаются на TLS 1.0. В этом случае вы можете проверить с помощью более современного инструмента, такого как SharpTLSScan: https://www.myotherpcisacloud.com/post/sharptlsscan-v12

У вас должно быть по крайней мере несколько шифров TLS 1.1 и 1.2, включенных по умолчанию на Server 2012 R2, и это заставляет меня задуматься, может ли ваша версия SSLScan устарела и не сканирует более новые версии протокола.

В любом случае вы действительно хотите включить TLS 1.1 и 1.2. TLS 1.0 подходит к концу своей полезной жизни очень быстро.