我需要將 IIS 7.5 (Server 2008 R2) 配置為符合 FIPS 140.2。
具體來說,這涉及禁用除 TLS 1.0 之外的所有 SSL 協定。
我設定了以下註冊表項:
HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Server
HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Server
HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\PCT 1.0\Server
啟用(DWORD) = 0 根據本知識庫, 但SSL 實驗室的檢查器說“SSL 2.0+升級支援”已啟用。 (除此之外的所有內容和 TLS 1.0 均不可用,因此我們正在取得進展)。它還顯示“FIPS 就緒 - 否” - 大概是因為 SSL 2.0+ 升級支援仍然啟用。
伺服器嗅探網說 SSL 2.0 已關閉,並且沒有提及任何有關 SSL 2.0+ 升級支援的資訊。這可能是 SSL Labs 檢查器的異常情況嗎?
答案1
這意味著伺服器支援 SSLv2 握手,即使它本身可能不支援 SSLv2。本質上這是一種優化。客戶端可以使用 SSLv2 握手來指示對較新的協定。
答案2
您可以將瀏覽器中的配置變更為僅接受 SSL 2.0 來確認這是 SSL 實驗室檢查器的問題。如果您可以連線到您的站點,則 SSL 2.0 仍處於啟用狀態。否則,它被禁用。