web-dev-qa-db-ja.com

Windows Server 2008 SP2でTLS 1.1および1.2を有効にする

IIS7を実行しているWindows Server 2008 SP2(R2ではない)でTLS 1.1および1.2を有効にすることはできますか?

レジストリを変更し、IIS Cryptoを使用して有効にしようとしましたが、機能していないようです。

それが不可能な場合、どうすればBeast攻撃を緩和できますか?

windows-server-2008iis-7tls
6
officeboi101

マイクロソフトは、TLS 1.1および1.2のサポートを追加するWindows 2008のアップデートを2017年にリリースしました。詳細は @ Chris Vesper's 回答を参照してください。

元の:

Windows 2008はTLS 1.1および1.2をサポートしていません。別の暗号スイート(RC4を含まない)を使用して、獣を軽減できます。

Security.stackexchange.comをご覧ください: https://security.stackexchange.com/questions/14326/how-to-fix-ssl-2-0-and-beast-on-iis =

4
MichelZ

TLS 1.2および1.2をServer 2008 SP2で動作させることができました。

Win32アプリケーションがServer 2008 SP2で多数のお客様に使用されています。アプリケーションは、2018年4月の時点でTLS 1.2のみをサポートするクレジットカード処理会社と通信する必要があります。

これが私たちが従った手順です:

  1. https://www.catalog.update.Microsoft.com/Search.aspx?q=KB4019276 からKB4019276をインストールします

  2. TLS 1.1およびTLS 1.2のレジストリキーを作成します。これらのキーは、ここに記載されているようにHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocolsの下に作成されます https://support.quovadisglobal.com/kb/a433/how-to-enable-tls-1_2-on -windows-server-2008-r2.aspx

  3. ここに記載されているように、Internet Explorer 9でTLS 1.1および1.2を有効にします https://msfn.org/board/topic/176902-enabling-tls-1112-support-in-vistas-internet-Explorer-9/ =

enter image description here

上記のステップ2の詳細な手順(URLが無効の場合)。

  1. 次のレジストリキーを参照します。HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols

  2. [プロトコル]フォルダーを右クリックして、ドロップダウンメニューから[新規]を選択し、次に[キー]を選択します。新しいフォルダが作成されます。このフォルダの名前をTLS 1.2に変更します。

  3. TLS 1.2キーを右クリックし、その下に2つの新しいキーを追加します。

  4. 2つの新しいキーの名前をClient Serverに変更します。

  5. クライアントキーを右クリックし、ドロップダウンリストから[新規]、[DWORD(32ビット)値]の順に選択します。

  6. DWORDの名前をDisabledByDefaultに変更します。

  7. DisabledByDefaultという名前を右クリックし、ドロップダウンメニューから[変更...]を選択します。

  8. [値のデータ]フィールドが0に設定され、ベースが16進数であることを確認します。 OKをクリックします。

  9. 手順7と同じように、クライアントキー用に別のDWORDを作成します。

  10. この2番目のDWORDの名前をEnabledに変更します。

  11. [有効]という名前を右クリックし、ドロップダウンメニューから[変更...]を選択します。

12 [値のデータ]フィールドが1に設定され、ベースが16進数であることを確認します。 OKをクリックします。

  1. サーバーキーに対して手順5〜12を繰り返します(DisabledByDefaultとEnabledの2つのDWORDと、サーバーキーの下にそれらの値を作成します)。

  2. サーバーを再起動します。

URLが無効の場合の上記のステップ3の詳細な手順。

  1. KB4019276をインストールした後、Regeditを(できればAdministratorとして)起動し、次の場所に移動します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\InternetExplorer\AdvancedOptions\CRYPTO\TLS1.1

  1. "OSVersion" = "3.6.1.0.0"サブキーを削除します)

  2. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\InternetExplorer\AdvancedOptions\CRYPTO\TLS1.2に移動します

  3. 再度、 "OSVersion" = "3.6.1.0.0"サブキーを削除します。レジストリエディタを終了します。

  4. IE9を起動します。 [ツール]-> [インターネットオプション]-> [詳細設定]タブ-> [セキュリティ]までスクロールします。

  5. KB4019276およびレジストリ操作の前は、Vistaでは「TLS 1.0の使用」しか利用できませんでした。 「POODLE」攻撃の標的にならないようにするには、以前の「Use SSL 2.0/3.0」オプションのチェックを外しておく必要があります。 「TLS 1.0を使用する」のチェックを外し(オプションで「TLS 1.1を使用する」)、「TLS 1.2を使用する」にチェックを入れます。

  6. [適用]、[OK]の順にクリックし、IE9を終了します。

  7. IE9を再起動すると、サポートされていないTLSプロトコルが原因で以前はロードできなかったすべてのサイトにアクセスできるようになります。

1
Chris Vesper