Ssl

將 IIS 7.5 配置為符合 FIPS 140.2

  • August 29, 2014

我需要將 IIS 7.5 (Server 2008 R2) 配置為符合 FIPS 140.2。

具體來說,這涉及禁用除 TLS 1.0 之外的所有 SSL 協議。

我設置了以下系統資料庫​​項:

HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Server
HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Server
HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\PCT 1.0\Server

根據此 KB設置為 Enabled(DWORD) = 0 ,但SSL Labs 的檢查器顯示“SSL 2.0+ 升級支持”已啟用。(除此之外的所有內容和 TLS 1.0 都不可用,所以我們正在取得進展)。它還顯示“FIPS 就緒 - 否” - 大概是因為 SSL 2.0+ 升級支持仍處於啟用狀態。

serversniff.net說 SSL 2.0 已關閉,並且沒有說明 SSL 2.0+ 升級支持。這可能是 SSL Labs 的檢查器異常嗎?

這意味著伺服器支持 SSLv2 握手,即使它本身可能不支持 SSLv2。本質上它是一種優化。客戶端可以使用 SSLv2 握手來指示支持較新的協議。

http://sourceforge.net/mailarchive/forum.php?thread_name=20100629171623.43012oj4b2hgrzi8%40webmail.mxes.net&forum_name=ssllabs-discuss

引用自:https://serverfault.com/questions/148142