パブリックWebサーバーのSSL証明書を注文するときに、Webサーバー(私の場合はIIS 6)が少なくとも128ビットの対称暗号化の企業標準をサポートするSSL/TLSクライアント接続のみを許可することを確認するにはどうすればよいですか? 。
128ビットをサポートするSSL証明書を購入できることは承知していますが、ハンドシェイク中に、クライアントは接続をたとえばSSLv2にダウングレードして、40ビット暗号化で実行することを選択できる可能性があります。
クライアントが128ビット以上を実行する必要があることを強制するにはどうすればよいですか?
チェックボックスを介して128ビット暗号化キーを適用することは、Webサーバーに強力なSSLを適用するためのステップ1ですが、レジストリで弱い暗号化アルゴリズムを明示的に無効にすることなく、クライアントは安全性の低い暗号化方法の使用を要求できます(128-長さのビット)。レジストリを編集するためのKBは次のとおりです http://support.Microsoft.com/kb/2450 。
しかし、私はこれに従い、脆弱性を再スキャンしたところ、いくつか見落としていたので、オフにする方法をよりよく説明する記事があります: http://blog.zenone.org/2009/03/pci-compliance- disable-sslv2-and-weak.html 。変更を有効にするには、完了後に再起動する必要があります。
IISでSSLv2および弱い暗号を無効にするために適用できる特定のレジストリキーがあります。
SSLv2を無効にするには、次のレジストリ変更を適用します。
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\PCT 1.0\Server]
"有効" = dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Server]
"有効" = dword:00000000
弱い暗号を無効にするには、次のレジストリ変更を適用します。
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\DES 56/56]
"有効" = dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\NULL]
"有効" = dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC2 40/128]
"有効" = dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC2 56/128]
"有効" = dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 40/128]
"有効" = dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 56/128]
"有効" = dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 64/128]
"有効" = dword:0000000
ソース -このページには、ApacheでSSLv2/Weak暗号を無効にする方法も記載されています
構成をテストするには、OpenSSL、THCSSLCheckツール、または新しい SSL Labsプロジェクト を使用できます。
次の手順を実行すると、IIS)で128ビット暗号化を適用できます。
1. IIS Managerで、ローカルコンピューターをダブルクリックし、目的のWebサイト、ディレクトリ、またはファイルを右クリックして、[プロパティ]をクリックします。
2. [ディレクトリセキュリティ]または[ファイルセキュリティ]タブの[セキュリティで保護された通信]で、[編集]をクリックします。
3. [セキュリティで保護された通信]ボックスで、[セキュリティで保護されたチャネル(SSL)を要求する]チェックボックスをオンにします。
4. 128ビット暗号化が必要な場合は、[128ビット暗号化が必要]チェックボックスをオンにします。
5. [OK]をクリックします。