Preciso configurar o IIS 7.5 (Server 2008 R2) para ser compatível com FIPS 140.2.
Especificamente, isso envolve a desativação de todos os protocolos SSL, exceto o TLS 1.0.
Eu configurei as seguintes chaves de registro:
HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Server
HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Server
HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\PCT 1.0\Server
para ativado (DWORD) = 0 conformeesta base de conhecimento, masVerificador do SSL Labsdiz que "Suporte de atualização SSL 2.0+" está ativado. (Tudo menos isso e o TLS 1.0 não está disponível, então estamos chegando a algum lugar). Também diz "FIPS pronto - não" - provavelmente porque o suporte de atualização SSL 2.0+ ainda está ativado.
servidoresniff.netdiz que o SSL 2.0 está desativado e não diz nada sobre o suporte de atualização do SSL 2.0+. Isso poderia ser uma anomalia no verificador do SSL Labs?
Responder1
Isso significa que o servidor oferece suporte ao handshake SSLv2, embora possa não oferecer suporte ao próprio SSLv2. Essencialmente, é uma otimização. Em vez de um cliente primeiro solicitar SSLv2 (com um handshake SSLv2) e falhar (se o servidor não suportar), então ter que solicitar SSLv3 ou melhor (com um handshake SSLv3), o cliente pode usar o handshake SSLv2 para indicar suporte para protocolos mais recentes.
Responder2
Você pode confirmar que é um problema com o SSL Labs Checker alterando a configuração do seu navegador para aceitar apenas SSL 2.0. Se você conseguir se conectar ao seu site, o SSL 2.0 ainda estará ativado. Caso contrário, está desativado.
Responder3
Uma empresa chamada Nartac software faz um download gratuitoCriptografia IISferramenta de configuração que pode ser usada para ativar/desativar protocolos e conjuntos de criptografia no IIS no Windows 2003, 2008 e 2012. Ele também vem com modelos para configurar o IIS para ser compatível com FIPS 140.2, integra-se com oQualis SSLanalisador de sites para testar URLs públicos e possui uma lista de outras ferramentas de validação que podem ser usadas para validar sites internos.