问如何将SSL/TLS连接限制为至少128位加密？

EN

通过复选框强制128位加密密钥是在weak服务器上强制使用强SSL的第一步，但在不显式禁用注册表中的弱加密算法的情况下，客户端可以请求使用不太安全的加密方法(同时使用长度为128位的密钥)。下面是用于编辑注册表http://support.microsoft.com/kb/245030的KB。

然而，我遵循了这一点，重新包装了漏洞，发现我漏掉了一些漏洞，因此这里有一篇文章更好地解释了该关闭什么：http://blog.zenone.org/2009/03/pci-compliance-disable-sslv2-and-weak.html。您需要在完成后重新启动更改才能生效。

有一些特定的注册表项可以应用于禁用IIS中的SSLv2和任何弱密码。

若要禁用SSLv2，请应用以下注册表更改：

_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\PCT HKEY_本地1.0\服务器

“已启用”=dword:00000000

_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL HKEY_本地2.0\服务器

“已启用”=dword:00000000

若要禁用弱密码，请应用以下注册表更改：

_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\DES 56/56 HKEY_本地

“已启用”=dword:00000000

HKEY_本地_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\NULL

“已启用”=dword:00000000

_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC2 40/128号HKEY_本地

“已启用”=dword:00000000

_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC2 56/128号HKEY_本地

“已启用”=dword:00000000

_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 40/128号HKEY_本地

“已启用”=dword:00000000

_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 56/128号HKEY_本地

“已启用”=dword:00000000

_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 64/128号HKEY_本地

“已启用”=dword:0000000

来源 -此页面还列出了如何在Apache中禁用SSLv2 2/弱密码。

要测试配置，可以使用OpenSSL、THCSSLCheck工具或新的SSL实验室项目

通过执行以下操作，可以在IIS中强制执行128位加密：

1.在IIS管理器中，双击本地计算机，然后右击所需的网站、目录或文件，然后单击“属性”。

2.在“目录安全”或“文件安全”选项卡上的“安全通信”下，单击“编辑”。

3.在“安全通信”框中，选中“要求安全通道(SSL)”复选框。

4.如果需要128位加密，请选中“要求128位加密”复选框。

5.单击OK。

来源