FIPS 140.2와 호환되도록 IIS 7.5(Server 2008 R2)를 구성해야 합니다.
특히 여기에는 TLS 1.0 이외의 모든 SSL 프로토콜을 비활성화하는 작업이 포함됩니다.
다음 레지스트리 키를 설정했습니다.
HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Server
HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Server
HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\PCT 1.0\Server
활성화(DWORD) = 0으로이 KB, 하지만SSL Labs의 검사기"SSL 2.0+ 업그레이드 지원"이 활성화되어 있다고 말합니다. (그것과 TLS 1.0 이외의 모든 것은 사용할 수 없으므로 어딘가에 도달하고 있습니다). 또한 "FIPS 준비 - 아니요"라고 표시됩니다. 아마도 SSL 2.0+ 업그레이드 지원이 여전히 활성화되어 있기 때문일 것입니다.
serverniff.netSSL 2.0이 꺼져 있다고 말하고 SSL 2.0+ 업그레이드 지원에 대해서는 아무 말도하지 않습니다. 이것이 SSL Labs의 검사기의 이상일 수 있습니까?
답변1
이는 서버가 SSLv2 자체를 지원하지 않더라도 SSLv2 핸드셰이크를 지원한다는 의미입니다. 본질적으로 그것은 최적화입니다. 클라이언트가 먼저 SSLv2(SSLv2 핸드셰이크 사용)를 요청하고 실패(서버가 이를 지원하지 않는 경우)한 후 SSLv3 이상(SSLv3 핸드셰이크 사용)을 요청하는 대신 클라이언트는 SSLv2 핸드셰이크를 사용하여 다음에 대한 지원을 나타낼 수 있습니다. 최신 프로토콜.
답변2
SSL 2.0만 허용하도록 브라우저 구성을 변경하면 SSL Labs Checker에 문제가 있는지 확인할 수 있습니다. 사이트에 연결할 수 있으면 SSL 2.0이 여전히 활성화되어 있는 것입니다. 그렇지 않으면 비활성화됩니다.