Ssl
將 IIS 7.5 配置為符合 FIPS 140.2
我需要將 IIS 7.5 (Server 2008 R2) 配置為符合 FIPS 140.2。
具體來說,這涉及禁用除 TLS 1.0 之外的所有 SSL 協議。
我設置了以下系統資料庫項:
HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Server HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Server HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\PCT 1.0\Server
根據此 KB設置為 Enabled(DWORD) = 0 ,但SSL Labs 的檢查器顯示“SSL 2.0+ 升級支持”已啟用。(除此之外的所有內容和 TLS 1.0 都不可用,所以我們正在取得進展)。它還顯示“FIPS 就緒 - 否” - 大概是因為 SSL 2.0+ 升級支持仍處於啟用狀態。
serversniff.net說 SSL 2.0 已關閉,並且沒有說明 SSL 2.0+ 升級支持。這可能是 SSL Labs 的檢查器異常嗎?
這意味著伺服器支持 SSLv2 握手,即使它本身可能不支持 SSLv2。本質上它是一種優化。客戶端可以使用 SSLv2 握手來指示支持較新的協議。