一、前言
首先說明一下,SSL 2 和 SSL 3 協議是兩種過時的協議,原因是它們存在很嚴重的漏洞,所以我們要在服務端禁用 SSL 2 和 SSL 3 協議,以避免一些安全問題。
-
SSL 2 協議:漏洞名為 DROWN(溺水攻擊 / 溺亡攻擊)。DROWN 漏洞可以利用過時的 SSL 2 協議來解密與之共享相同 RSA 私鑰的 TLS 協議所保護的流量。
-
SSL 3 協議:漏洞名為 POODLE(卷毛狗攻擊)。POODLE 漏洞只對 CBC 模式的明文進行了身份驗證,但是沒有對填充字節進行完整性驗證,攻擊者竊取采用 SSL 3 版加密通信過程中的內容,對填充字節修改並且利用預置填充來恢復加密內容,以達到攻擊目的。
關於更多基於 SSL/TLS 協議的漏洞,請查看這篇文章《常見的幾種 SSL/TLS 漏洞及攻擊方式》。
在 Windows 系統中,服務器如果使用 Windows Server 2016 版本系統,那么恭喜你了,你可以省去禁用 SSL 2 和 SSL 3 協議的工作了,因為在此版本系統以后,微軟已經默認禁用這兩種協議了。如果你還不放心,下面有 SSL 服務器測試能幫你檢測。其它版本系統,可參照下文介紹的 2 種設置方法來禁用協議。
二、禁用 SSL 2 和 SSL 3 協議
1、通過修改注冊表禁用協議
-
Win + R鍵,打開運行,輸入 regedit ,打開“注冊表編輯器”。 -
在注冊表編輯器,找到以下注冊表項/文件夾:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols -
在“SSL 2.0”文件夾,右鍵單擊並選擇“新建”,然后單擊“項(K)”。然后重命名文件夾為“Server”。
-
右鍵點擊“Sever”文件夾,選擇“新建”,然后單擊“DWORD(32-bit)值”。
-
將新建的 DWORD 重命名為“Enabled”,並按下回車鍵或者雙擊查看。
-
請確保它顯示 0x00000000(0)。如果沒有,請右鍵單擊並選擇修改,輸入 0 作為數值數據。
-
現在,禁用 SSL 3,對“SSL 3.0”文件夾,右鍵單擊並選擇“新建”,然后單擊“項(K)”。命名新的文件夾為“Server”。
-
右鍵點擊“Sever”文件夾,選擇“新建”,然后單擊 DWORD(32-bit)值。
-
將新建的 DWORD 重命名為“Enabled”,並按下回車鍵或者雙擊查看。
-
請確保它顯示 0x00000000(0)的數據列下。如果沒有,請右鍵單擊並選擇修改,輸入 0 作為數值數據。
-
重新啟動計算機。
2、使用 IIS Crypto 工具
IIS Crypto 是一個免費工具,使管理員能夠在 Windows Server 2008,2012,2016 和 2019 上啟用或禁用協議,密碼,哈希和密鑰交換算法。它還允許您重新排序 IIS 提供的 SSL / TLS 密碼套件,更改高級設置,只需單擊即可實施最佳實踐,創建自定義模板並測試您的網站。
使用這個工具,設置簡單方便,功能也多,懶人必備啊。這個工具需要安裝到服務器,並且需要管理員權限。
IIS Crypto 工具網址:https://www.nartac.com/Products/IISCrypto/
三、SSL 服務器測試
使用下面兩個測試網站,可以查看你的網站的安全狀態。
- SSL Labs 網址:https://www.ssllabs.com/ssltest/index.html
- My SSL 網址:https://myssl.com/
四、參考文獻
微軟文檔:Protocols in TLS/SSL (Schannel SSP) - Windows applications
轉載自:https://www.123si.org/os/article/windows-server-disables-ssl-2-and-ssl-3-protocols/