IIS - Onveilige SSL versies uitschakelen

Oudere protocollen zoals  SSLv2, SSLv3 en TLS1.0 wordenal geruime tijd meer standaard gebruikt, en staandoorgaans alleen geïnstalleerd ter ondersteuning voor legacy-produkten. Het kan echter ook een aanzienlijk veiligheidsrisico vormen. Zodoende raden wij sterk aan om deze protocollen uit te schakelen. Dit kan door een instellingen te wijzigen in het register:

Uitschakelen PCT 1.0:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\PCT 1.0\Server]
"Enabled"=dword:00000000

Uitschakelen SSL2.0

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Server]
"Enabled"
=dword:00000000

Uitschakelen SSL 3.0

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Server]
"Enabled"=dword:00000000

Uitschakelen TLS 1.0

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server]
"Enabled"=dword:00000000

Uitschakelen TLS 1.1:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Server]
"Enabled"=dword:00000000

Als een van de uit te schakelen protocollen niet vermeld staat in ..\SCHANNEL\Protocols\ dan kun je deze simpel aanmaken.
De nodige stappen staan hieronder beschreven, we gaan in dit voorbeeld uit van SSLv3:

  1. Klik met de rechter muisknop op Protocols en kies voor New -> Key
  2. Geef deze nieuwe key de naam van het protocol dat u uit wilt schakelen, bv. SSL 3.0
  3. Klik met de rechter muisknop op de nieuwe key en kies weer voor New -> Key
  4. Geef de nieuwe key de naam Server
  5. Klik met de rechter muisknop op de Server key en kies voor New -> DWORD
  6. Geef het nieuwe DWORD als Value: Enabled.
  7. Dubbelklik op dit nieuwe DWORD en controleer of er als Value Data 0 is opgegeven en klik vervolgens op Ok.
  8. De nodige stappen zijn doorlopen, omdat dit een register aanpassing is dient de server te worden herstart om de wijziging door te voeren.

Om te zien of de site nog oudere protocollen gebruikt kun je via onze SSLCheck een controle uitvoeren.

point up