web-dev-qa-db-ja.com

Windows Server 2012 R2での暗号スイートの強化

現在、すべての新しいWS 12&IIS 8.5 Webサーバーで使用されるCiphersuiteポリシーをコンパイルしています。これまで、レジストリキーは常に手動でSChannelですが、便利なツール、IIS Crypto。

私は常にSSLv3を無効にするつもりでしたが、かなり長い間これを実行したいと思っていました。 POODLEの発表により、私はようやくプッシュスルーしてこのプロトコルを無効にすることができました。

SSLv3で使用した場合、CBC暗号でこの脆弱性が明らかであることを読みました。これを念頭に置いて、Cipher Suite Orderリスト内のIIS Cryptoで、SSLv3が無効になっている限り、CBCを使用する暗号スイートを有効のままにしても問題ありません。 Protocolsリスト?

ありがとう。

tlswindowsiis
3
JLPH

はい、SSLv3.0が無効になっている限り、リストにCBC暗号スイートがあっても問題ありません。問題はCBCモード自体ではなく、パディング形式のSSLv3.0仕様です。 TLSv1.0のパディング形式はより制限的であるため、POODLE攻撃をマウントするために必要な柔軟性は存在しなくなりました。

3
Xander