Konfigurieren von IIS 7.5 für die Kompatibilität mit FIPS 140.2

tag-icon tag-icon ssl iis-7.5 tls fips-140-2
Konfigurieren von IIS 7.5 für die Kompatibilität mit FIPS 140.2

Ich muss IIS 7.5 (Server 2008 R2) so konfigurieren, dass es FIPS 140.2-kompatibel ist.

Konkret geht es dabei um die Deaktivierung aller SSL-Protokolle außer TLS 1.0.

Ich habe die folgenden Registrierungsschlüssel festgelegt:

HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Server
HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Server
HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\PCT 1.0\Server

auf Enabled(DWORD) = 0 gemäßdiese KB, AberPrüfer von SSL Labssagt, dass „SSL 2.0+ Upgrade Support“ aktiviert ist. (Alles andere und TLS 1.0 ist nicht verfügbar, also kommen wir voran). Es heißt auch „FIPS-fähig – nein“ – vermutlich, weil SSL 2.0+ Upgrade Support immer noch aktiviert ist.

serversniff.netsagt, dass SSL 2.0 ausgeschaltet ist, und sagt nichts über SSL 2.0+ Upgrade Support. Könnte dies eine Anomalie beim SSL Labs-Checker sein?

Antwort1

Das bedeutet, dass der Server SSLv2-Handshakes unterstützt, auch wenn er SSLv2 selbst möglicherweise nicht unterstützt. Im Wesentlichen handelt es sich dabei um eine Optimierung. Anstatt dass ein Client zuerst SSLv2 anfordert (mit einem SSLv2-Handshake) und dies fehlschlägt (wenn der Server es nicht unterstützt) und dann SSLv3 oder besser anfordern muss (mit einem SSLv3-Handshake), kann der Client den SSLv2-Handshake verwenden, um die Unterstützung für neuere Protokolle anzuzeigen.

http://sourceforge.net/mailarchive/forum.php?thread_name=20100629171623.43012oj4b2hgrzi8%40webmail.mxes.net&forum_name=ssllabs-discuss

Antwort2

Sie können mit dem SSL Labs Checker bestätigen, dass es sich um ein Problem handelt, indem Sie die Konfiguration Ihres Browsers so ändern, dass nur SSL 2.0 akzeptiert wird. Wenn Sie eine Verbindung zu Ihrer Site herstellen können, ist SSL 2.0 noch aktiviert. Andernfalls ist es deaktiviert.

Antwort3

Eine Firma namens Nartac Software stellt eine kostenloseIIS-KryptoKonfigurationstool, mit dem Protokolle und Verschlüsselungssammlungen in IIS unter Windows 2003, 2008 und 2012 aktiviert/deaktiviert werden können. Es enthält außerdem Vorlagen für die Konfiguration von IIS, um FIPS 140.2-kompatibel zu sein, integriert sich in dieQualys SSLSite Analyzer zum Testen öffentlicher URLs und verfügt über eine Liste anderer Validierungstools, die zum Validieren interner Sites verwendet werden können.

verwandte Informationen