Configurando o IIS 7.5 para ser compatível com FIPS 140.2

tag-icon tag-icon ssl iis-7.5 tls fips-140-2
Configurando o IIS 7.5 para ser compatível com FIPS 140.2

Preciso configurar o IIS 7.5 (Server 2008 R2) para ser compatível com FIPS 140.2.

Especificamente, isso envolve a desativação de todos os protocolos SSL, exceto o TLS 1.0.

Eu configurei as seguintes chaves de registro:

HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Server
HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Server
HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\PCT 1.0\Server

para ativado (DWORD) = 0 conformeesta base de conhecimento, masVerificador do SSL Labsdiz que "Suporte de atualização SSL 2.0+" está ativado. (Tudo menos isso e o TLS 1.0 não está disponível, então estamos chegando a algum lugar). Também diz "FIPS pronto - não" - provavelmente porque o suporte de atualização SSL 2.0+ ainda está ativado.

servidoresniff.netdiz que o SSL 2.0 está desativado e não diz nada sobre o suporte de atualização do SSL 2.0+. Isso poderia ser uma anomalia no verificador do SSL Labs?

Responder1

Isso significa que o servidor oferece suporte ao handshake SSLv2, embora possa não oferecer suporte ao próprio SSLv2. Essencialmente, é uma otimização. Em vez de um cliente primeiro solicitar SSLv2 (com um handshake SSLv2) e falhar (se o servidor não suportar), então ter que solicitar SSLv3 ou melhor (com um handshake SSLv3), o cliente pode usar o handshake SSLv2 para indicar suporte para protocolos mais recentes.

http://sourceforge.net/mailarchive/forum.php?thread_name=20100629171623.43012oj4b2hgrzi8%40webmail.mxes.net&forum_name=ssllabs-discuss

Responder2

Você pode confirmar que é um problema com o SSL Labs Checker alterando a configuração do seu navegador para aceitar apenas SSL 2.0. Se você conseguir se conectar ao seu site, o SSL 2.0 ainda estará ativado. Caso contrário, está desativado.

Responder3

Uma empresa chamada Nartac software faz um download gratuitoCriptografia IISferramenta de configuração que pode ser usada para ativar/desativar protocolos e conjuntos de criptografia no IIS no Windows 2003, 2008 e 2012. Ele também vem com modelos para configurar o IIS para ser compatível com FIPS 140.2, integra-se com oQualis SSLanalisador de sites para testar URLs públicos e possui uma lista de outras ferramentas de validação que podem ser usadas para validar sites internos.

informação relacionada