IIS - Onveilige SSL versies uitschakelen

SSL versie 2 wordt al jaren niet meer standaard gebruikt, en staat doorgaans alleen geïnstalleerd ter ondersteuning voor legacy-produkten. Het kan echter ook een aanzienlijk veiligheidsrisico vormen.
Op veel sites wordt SSL versie 3 nog wel gebruikt, maar ook hierin is onlangs een ernstig lek ontdekt. Zodoende raden wij sterk aan om beiden uit te schakelen.

Dit kan door een instellingen te wijzigen in het register:

Uitschakelen PCT 1.0:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\PCT 1.0\Server]
"Enabled"=dword:00000000

Uitschakelen SSL 2.0:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Server]
"Enabled"
=dword:00000000


Uitschakelen SSL 3.0:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Server]
"Enabled"=dword:00000000

Indien een van de uit te schakelen protocollen niet vermeld staat in ..\SCHANNEL\Protocols\ dan kunt u deze simpel aanmaken.
De nodige stappen staan hieronder beschreven, we gaan in dit voorbeeld uit van SSLv3:

  1. Klik met de rechter muisknop op Protocols en kies voor New -> Key
  2. Geef deze nieuwe key de naam van het protocol dat u uit wilt schakelen, bv. SSL 3.0
  3. Klik met de rechter muisknop op de nieuwe key en kies weer voor New -> Key
  4. Geef de nieuwe key de naam Server
  5. Klik met de rechter muisknop op de Server key en kies voor New -> DWORD
  6. Geef het nieuwe DWORD als Value: Enabled.
  7. Dubbelklik op dit nieuwe DWORD en controleer of er als Value Data 0 is opgegeven en klik vervolgens op Ok.
  8. De nodige stappen zijn doorlopen, omdat dit een register aanpassing is dient de server te worden herstart om de wijziging door te voeren.

 

Raadpleeg de SSLCheck  om te controleren of een website SSLv2 of SSLv3 toelaat.

SSLCheck

De SSLCheck controleert of je certificaat goed op je server is geïnstalleerd en of er mogelijke problemen zijn.