Настройка IIS7 только для TLS 1.0
Мне было поручено настроить сервер IIS7 для приема только HTTPS-соединений TLS 1.0.
Я пришел к следующему списку наборов шифров, которые я вывел TLS 1.0.
TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA
TLS_DHE_DSS_WITH_AES_128_CBC_SHA
TLS_DHE_DSS_WITH_AES_256_CBC_SHA
TLS_RSA_WITH_3DES_EDE_CBC_SHA
TLS_RSA_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_AES_256_CBC_SHA
Я поместил этот список в поле следующей политики: Конфигурация компьютера | Административные шаблоны | Сеть | Настройки конфигурации SSL | SSL Cipher Suite Заказать
Этого достаточно? Является ли какой-либо из наборов в моем списке не TLS 1.0? Существуют ли какие-либо другие комплекты TLS 1.0, поддерживаемые IIS7, которых нет в списке?
Сервером, кстати, является Windows Server 2008 R2.
Спасибо
5 ответов
Ограничение наборов шифров не является правильным методом, так как они могут быть согласованы клиентом SSLv3, что приведет к SSLv3. Лучший способ - следовать статье, на которую указал Роберт ( http://support.microsoft.com/kb/187498), и установить правильные ключи реестра. Все, кроме этого, подвержено ошибкам.
Вы будете следовать процедуре, аналогичной http://www.sslshopper.com/article-how-to-disable-ssl-2.0-in-iis-7.html за исключением того, что вы отключите не только SSL 2.0
http://support.microsoft.com/kb/187498 также имеет информацию
Компания под названием Nartac software выпускает бесплатное средство настройки IIS Crypto, которое можно использовать для включения / отключения протоколов и комплектов шифров в IIS в Windows 2003, 2008 и 2012. Оно также поставляется с шаблонами для настройки IIS на совместимость с FIPS 140.2, интегрируется с анализатор сайтов Qualys SSL для тестирования общедоступных URL-адресов, а также список других инструментов проверки, которые можно использовать для проверки внутренних сайтов.
Проверьте это Ограничить веб-сайт для определенного крипто-протокола. То же самое отлично работает для IIS 7 / 7.5.
Список всех поддерживаемых шифров в win2008. Это может быть хорошим началом.