Necesito configurar IIS 7.5 (Server 2008 R2) para que sea compatible con FIPS 140.2.
Específicamente, esto implica deshabilitar todos los protocolos SSL distintos de TLS 1.0.
He configurado las siguientes claves de registro:
HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Server
HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Server
HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\PCT 1.0\Server
a habilitado (DWORD) = 0 segúnesta base de conocimiento, peroComprobador de SSL Labsdice que "Soporte de actualización SSL 2.0+" está habilitado. (Todo lo demás excepto eso y TLS 1.0 no está disponible, así que estamos llegando a alguna parte). También dice "FIPS listo - no", presumiblemente porque el soporte de actualización SSL 2.0+ todavía está habilitado.
servidoresniff.netdice que SSL 2.0 está desactivado y no dice nada sobre el soporte de actualización de SSL 2.0+. ¿Podría ser esto una anomalía con el verificador de SSL Labs?
Respuesta1
Significa que el servidor admite el protocolo de enlace SSLv2, aunque es posible que no admita SSLv2 en sí. Básicamente es una optimización. En lugar de que un cliente primero solicite SSLv2 (con un protocolo de enlace SSLv2) y falle (si el servidor no lo admite), y luego tenga que solicitar SSLv3 o mejor (con un protocolo de enlace SSLv3), el cliente puede usar el protocolo de enlace SSLv2 para indicar soporte para protocolos más nuevos.
Respuesta2
Puede confirmar que se trata de un problema con SSL Labs Checker cambiando la configuración de su navegador para aceptar solo SSL 2.0. Si puede conectarse a su sitio, entonces SSL 2.0 todavía está habilitado. De lo contrario, queda deshabilitado.
Respuesta3
Una empresa llamada Nartac software hace un software gratuitoCripto IISherramienta de configuración que se puede utilizar para habilitar/deshabilitar protocolos y conjuntos de cifrado en IIS en Windows 2003, 2008 y 2012. También viene con plantillas para configurar IIS para que sea compatible con FIPS 140.2, se integra con elSSL de calidadanalizador de sitios para probar URL públicas y tiene una lista de otras herramientas de validación que se pueden utilizar para validar sitios internos.