IIS8.5配置SSL/TLS安全评估为A级
SSL/TLS评估是为了检测部署SSL/TLS的服务是否符合行业最佳实践,PCI DSS支付卡行业安全标准,Apple ATS规范,等级分级为T至A+,等级越接近A+越好。
前两天在检测本站的SLL评估的时候,发现SSL/TLS评级为6,对应B级,虽然对于个人博客网站和HTTPS没有什么影响,但是本着极客精神,还是去解决了一下,至少得拿个A级吧。
解决前:
降级原因:
- 服务器支持弱Diffie-Hellman(DH)密钥交换参数,降级为B
- 因为使用RC4密码套件,降级为B
解决方法:
通过修改注册表关闭不安全的支持,首先新建一个txt文本,复制下述代码,然后另存为.reg文件,完成执行,再检测即可发现已经达到A级,不会新建的可以到文章末尾下载。
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\KeyExchangeAlgorithms\Diffie-Hellman]
"Enabled"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 128/128]
"Enabled"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 40/128]
"Enabled"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 56/128]
"Enabled"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 64/128]
"Enabled"=dword:00000000
注:如果显示PCI DSS不合规,下载Nartac Software,选择GUI版本,然后在服务器上打开软件,点击Best Practices,按下图勾选后点击Apply,重启服务器即可,不会下载的在文章末尾下载IISCrypto可以。
附件下载:
版权声明:
作者:兴兴
文章:IIS8.5配置SSL/TLS安全评估为A级
链接:https://www.networkcabin.com/notes/2070
文章版权归本站所有,未经授权请勿转载。
作者:兴兴
文章:IIS8.5配置SSL/TLS安全评估为A级
链接:https://www.networkcabin.com/notes/2070
文章版权归本站所有,未经授权请勿转载。
THE END
