Настройка IIS 7.5 для соответствия FIPS 140.2

tag-icon tag-icon ssl iis-7.5 tls fips-140-2
Настройка IIS 7.5 для соответствия FIPS 140.2

Мне необходимо настроить IIS 7.5 (Server 2008 R2) в соответствии со стандартом FIPS 140.2.

В частности, это подразумевает отключение всех протоколов SSL, кроме TLS 1.0.

Я установил следующие ключи реестра:

HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Server
HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Server
HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\PCT 1.0\Server

в Enabled(DWORD) = 0 согласноэта КБ, ноПроверка SSL Labsговорит, что "Поддержка обновления SSL 2.0+" включена. (Все остальное, кроме этого и TLS 1.0, недоступно, так что мы уже куда-то движемся). Также говорится, что "FIPS ready - no" - предположительно, потому что поддержка обновления SSL 2.0+ все еще включена.

серверыniff.netговорит, что SSL 2.0 выключен, и ничего не говорит о поддержке обновления SSL 2.0+. Может ли это быть аномалией в проверяющем устройстве SSL Labs?

решение1

Это означает, что сервер поддерживает рукопожатие SSLv2, хотя он может и не поддерживать SSLv2 сам по себе. По сути, это оптимизация. Вместо того, чтобы клиент сначала запросил SSLv2 (с рукопожатием SSLv2) и потерпел неудачу (если сервер его не поддерживает), а затем запросил SSLv3 или лучше (с рукопожатием SSLv3), клиент может использовать рукопожатие SSLv2 для указания поддержки новых протоколов.

http://sourceforge.net/mailarchive/forum.php?thread_name=20100629171623.43012oj4b2hgrzi8%40webmail.mxes.net&forum_name=ssllabs-discuss

решение2

Вы можете подтвердить, что проблема связана с SSL Labs Checker, изменив конфигурацию в своем браузере так, чтобы он принимал только SSL 2.0. Если вы можете подключиться к своему сайту, то SSL 2.0 все еще включен. В противном случае он отключен.

решение3

Компания Nartac Software делает бесплатное программное обеспечениеIIS Криптоинструмент настройки, который можно использовать для включения/отключения протоколов и наборов шифров в IIS в Windows 2003, 2008 и 2012. Он также поставляется с шаблонами для настройки IIS в соответствии со стандартом FIPS 140.2, интегрируется сQualys SSLанализатор сайтов для тестирования общедоступных URL-адресов, а также список других инструментов проверки, которые можно использовать для проверки внутренних сайтов.

Связанный контент