IIS 7.5 (Server 2008 R2) を FIPS 140.2 準拠に構成する必要があります。
具体的には、TLS 1.0 以外のすべての SSL プロトコルを無効にする必要があります。
次のレジストリ キーを設定しました。
HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Server
HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Server
HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\PCT 1.0\Server
有効(DWORD) = 0 にこのKB、 しかしSSL Labsのチェッカー「SSL 2.0+ アップグレード サポート」が有効になっていると表示されます。(それ以外のものや TLS 1.0 は利用できないため、何らかの問題が発生しています)。また、「FIPS 対応 - いいえ」とも表示されます。これは、SSL 2.0+ アップグレード サポートがまだ有効になっているためと思われます。
翻訳元SSL 2.0 はオフになっていると表示され、SSL 2.0+ アップグレード サポートについては何も表示されません。これは SSL Labs のチェッカーの異常なのでしょうか?
答え1
これは、サーバーが SSLv2 ハンドシェイクをサポートしていることを意味しますが、サーバー自体は SSLv2 をサポートしていない可能性があります。基本的には最適化です。クライアントが最初に SSLv2 (SSLv2 ハンドシェイクを使用) を要求して失敗し (サーバーがサポートしていない場合)、次に SSLv3 またはそれ以上を要求する (SSLv3 ハンドシェイクを使用) 代わりに、クライアントは SSLv2 ハンドシェイクを使用して新しいプロトコルのサポートを示すことができます。
答え2
ブラウザの設定を変更して SSL 2.0 のみを受け入れるようにすると、SSL Labs Checker の問題であることが確認できます。サイトに接続できる場合は、SSL 2.0 がまだ有効になっています。そうでない場合は、無効になっています。