IIS - Inschakelen 256-bit Encryptie

Al onze SSL certificaten ondersteunen 256-bit encryptie. Echter werkt dit alleen als zowel de client als server applicaties 256-bit verbindingen ondersteunen.

Inschakelen 256-bit Encryptie in IIS6

Om 256-bit encryptie in IIS6.0 in te schakelen dient u registeraanpassingen door te voeren:

  1. Installeer de AES128 en AES256 hotfix (deze zijn niet standaard geïnstalleerd). Download: http://support.microsoft.com/kb/948963
  2. Bewerk de volgende registersleutels op de IIS6.0 server
    HLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\
  3. In de Subsleutel AES 128/128 maak een DWORD waarde aan “Enabled” en ingesteld met de waarde 0.
  4.  Herstart de Server.
  5. 128-bit verbindingen zijn nu uitgeschakeld zodat 256-bit geforceerd wordt.

Let op: Deze wijzigingen kunnen bij wat oudere browsers problemen veroorzaken omdat deze geen 256-bit encryptie ondersteunen. Advies is dan om de browsers te upgraden naar recentere versies.

Inschakelen 256-bit Encryptie in IIS7

Om 256-bit encryptie in IIS7 in te schakelen zorgt u ervoor dat de "Cipher Suite" die bovenaan in de lijst staat de volgende is: TLS_RSA_WITH_AES_256_CBC_SHA

Om de volgorde van de Cipher Suite te wijzigen doet u het volgende:

  1. Run gpedit.msc vanaf de command line.
  2. In de Group Policy Object Editor, vouw Computer Configuration uit en dan Administrative Templates en Network.
  3. Onder Network, selecteer SSL Configuration en dubbelklik dan op SSL Cipher Suite Order. Standaard is de SSL Cipher Suite Order ingesteld op "Not Configured"
  4. Om 256-bit encryptie in te schakelen, selecteer de "enabled" radio knop.
  5. In de SSL Cipher Suites tekstbox, verwijder TLS_RSA_WITH_AES_128_CBC_SHA of plaats het achter TLS_RSA_WITH_AES_256_CBC_SHA. TLS_RSA_WITH_AES_256_CBC_SHA dient de eerste cipher suite te zijn in de lijst. om te kunnen verbinden met een 256-bit encryptie.
  6. Als alle stappen voltooid zijn, herstart de server om de wijzigingen door te voeren.

Het uitschakelen van onveilige encryptie ciphers lager dan 128bit

  1. Open Start → Uitvoeren → regedit
  2. Blader naar de volgende registersleutel:
    HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\DES 56/56
  3. Creëer een nieuw REG_DWORD gegevenstype genaamd Enabled en stel de waarde in op 0.
  4. Blader naar de volgende registersleutel:
    HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC2 40/128
  5. Creëer een nieuw REG_DWORD gegevenstype genaamd Enabled en stel de waarde in op 0.
  6. Blader naar de volgende registersleutel:
    HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 40/128
  7. Creëer een nieuw REG_DWORD gegevenstype genaamd Enabled en stel de waarde in op 0.
  8. Blader naar de volgende registersleutel:
    HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 56/128
  9. Creëer een nieuw REG_DWORD gegevenstype genaamd Enabled en stel de waarde in op 0.
  10. Herstart de computer.

SSLCheck

De SSLCheck controleert of je certificaat goed op je server is geïnstalleerd en of er mogelijke problemen zijn.