¿Cómo puedo limitar las conexiones SSL / TLS a una encoding de al less 128 bits?

Cuando estoy pidiendo un certificate SSL para mi server web público, ¿cómo puedo estar seguro de que el server web (IIS 6 en mi caso) solo permitirá conexiones de cliente SSL / TLS que soporten nuestro estándar corporativo de al less 128 bits de encryption simétrico .

Estoy enterado que usted puede comprar un cert del SSL que apoye 128-bit, pero durante el apretón de manos el cliente puede elegir degradar la connection a, digamos, SSLv2 y funcionar con la encripción de 40-bit.

¿Cómo puedo hacer cumplir el cliente debe ejecutar 128 bits o mejor?

Aplicar keys de encryption de 128 bits a través de la checkbox es el paso 1 para reforzar el SSL fuerte en su server web, pero sin deshabilitar explícitamente los algorithms de encriptación débiles en el logging, los clientes pueden solicitar el uso de methods less seguros de encryption (utilizando keys 128- bits de longitud). Aquí está la KB para editar el logging http://support.microsoft.com/kb/245030 .

Sin embargo, lo seguí, rescanished para las vulnerabilidades y encontré que falté alguno tan aquí es un artículo que explique mejor qué apagar: http://blog.zenone.org/2009/03/pci-compliance-disable-sslv2- y-weak.html . Tendrá que reiniciar después de haber terminado para que los cambios surtan efecto.

Hay keys de logging específicas que puede aplicar para desactivar SSLv2 y cualquier cifra débil en IIS.

Para deshabilitar SSLv2, aplique estos cambios de logging:

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SecurityProviders \ SCHANNEL \ Protocolos \ PCT 1.0 \ Server]

"Enabled" = dword: 00000000

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SecurityProviders \ SCHANNEL \ Protocolos \ SSL 2.0 \ Server]

"Enabled" = dword: 00000000

Para deshabilitar cifras débiles, aplique estos cambios de logging:

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SecurityProviders \ SCHANNEL \ Cifers \ DES 56/56]

"Enabled" = dword: 00000000

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SecurityProviders \ SCHANNEL \ Cifers \ NULL]

"Enabled" = dword: 00000000

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SecurityProviders \ SCHANNEL \ Cifers \ RC2 40/128]

"Enabled" = dword: 00000000

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SecurityProviders \ SCHANNEL \ Cifers \ RC2 56/128]

"Enabled" = dword: 00000000

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SecurityProviders \ SCHANNEL \ Cifers \ RC4 40/128]

"Enabled" = dword: 00000000

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SecurityProviders \ SCHANNEL \ Cifers \ RC4 56/128]

"Enabled" = dword: 00000000

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SecurityProviders \ SCHANNEL \ Cifers \ RC4 64/128]

"Enabled" = dword: 0000000

Origen – Esta página también muestra cómo deshabilitar los encryptions SSLv2 / débiles en Apache

Para probar la configuration, puede utilizar OpenSSL, la herramienta THCSSLCheck o el nuevo proyecto de SSL Labs

Puede aplicar el encryption de 128 bits en IIS haciendo lo siguiente:

1.In IIS Manager, haga doble clic en el equipo local y, a continuación, haga clic con el button secundario en el sitio Web, el directory o el file que desee y click Propiedades.

2. En la pestaña Seguridad de directorys o Seguridad de files, en Comunicaciones seguras, click Editar.

3. En el cuadro Comunicaciones seguras, select la checkbox Requerir canal seguro (SSL).

4. Si se requiere encriptación de 128 bits, select la checkbox Requerir encryption de 128 bits.

5.Haga clic en Aceptar.

Fuente