Повышаем безопасность SSL/TLS в ОС Windows

В ОС Windows за организацию безопасных каналов SSL/TLS отвечает криптопровайдер SChannel, чтобы противостоять современным атакам на слабые шифры требуется его отконфигурировать. Проще всего это сделать с помощью программы IIS Crypto — она отключит небезопасные шифры и SSL 2.0, добавит современные шифры. Конфигурация применится ко всем службам, использующим SChannel (в т.ч. Exchange и TMG), а не только к IIS. Также требуется отключить небезопасное пересогласование сессий TLS путем добавления в ключ HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL параметров типа DWORD AllowInsecureRenegoClients и AllowInsecureRenegoServers с нулевыми значениями.

Подробнее про атаки на SSL/TLS и закручивание гаек вручную можно прочитать в этой статье.

Провести глубокий анализ настроек SSL своего веб-сервера можно с помощью этого сервиса.

Добавить комментарий