Hướng dẫn tắt SSL 2.0 và SSL 3.0 trên IIS 7

Windows Server 2008 mặc định sử dụng IIS 7 kích hoạt SSL 2.0 và SSL 3.0. Thật không may, điều này có nghĩa rằng bạn đã thất bại trong việc tuân thủ PCI. Để bảo mật server và đảm bảo đạt được yêu cầu PCI-DSS, bạn cần tắt SSL 2.0 và SSL 3.0 và tắt các cipher yếu. Để làm việc này và chắc chắn rằng giao thức mạnh hơn, TLS 1.0 sẽ được sử dụng, thực hiện theo hướng dẫn sau:

  1. Bấm Start, chọn Run, gõ regedit, và bấm OK.
  2. Trong Registry Editor, tìm đến registry key/folder sau:HKey_Local_Machine\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols
  3. Click chuột phải vào SSL 2.0 folder và chọn New rồi chọn Key. Đổi tên folder là Server.
  4. Bên trong Server folder, click Edit menu, chọn New, và chọn DWORD (32-bit) Value.
  5. Nhập Enabled và ấn Enter.
  6. Đảm bảo rằng nó hiển thị 0x00000000 (0) dưới cột Data. Nếu không, click chuột phải và chọn Modify và nhập 0 vào Value.
  7. Để tắt SSL 3.0, click chuột phải vào SSL 3.0 folder và chọn New rồi bấm Key. Đặt tên folder là Server.
  8. Bên trong Server folder, bấm Edit menu, chọn New, và bấm DWORD (32-bit) Value.
  9. Nhập Enabled và Enter.
  10. Đảm bảo rằng nó hiển thị 0x00000000 (0) dưới cột Data. Nếu không, click chuột phải và chọn Modify và nhập 0 vào Value.
  11. Restart máy tính.

k

Lưu ý: Cách làm này tương tự với IIS 6 (Windows Server 2003). Bình thường, Server key đã có sẵn dưới mục SSL 2.0 vì vậy bạn chỉ cần tạo giá trị DWORD và đặt tên là Enabled.

Tắt các Ciphers yếu trong IIS 7.0

Cùng với việc tắt SSL 2.0, bạn có thể tắt một vài cipher yếu bằng cách sửa registry tương tự cách trên. Chi tiết tại: Cập nhật Cipher Suites