IIS 7.5をFIPS 140.2に準拠するように構成する
IIS 7.5(Server 2008 R2)をFIPS 140.2に準拠するように構成する必要があります。
具体的には、これにはTLS1.0以外のすべてのSSLプロトコルを無効にすることが含まれます。
次のレジストリキーを設定しました。
HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Server
HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Server
HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\PCT 1.0\Server
to Enabled(DWORD)= 0 per this KB 、but SSL Labs'checker は「SSL2.0 + UpgradeSupport」が有効になっていると言います。 (それとTLS 1.0以外は利用できないので、どこかに行き着きます)。また、「FIPS対応-いいえ」と表示されます。おそらくSSL2.0以降のアップグレードサポートがまだ有効になっているためです。
serversniff.net SSL 2.0がオフになっていることを示し、SSL2.0以降のアップグレードサポートについては何も述べていません。これはSSLラボのチェッカーの異常でしょうか?
これは、サーバーがSSLv2自体をサポートしていない場合でも、サーバーがSSLv2ハンドシェイクをサポートしていることを意味します。本質的には最適化です。クライアントが最初にSSLv2を要求して(SSLv2ハンドシェイクで)失敗し(サーバーがサポートしていない場合)、次にSSLv3以上を要求する(SSLv3ハンドシェイクで)代わりに、クライアントはSSLv2ハンドシェイクを使用してサポートを示すことができます。新しいプロトコル。
SSL 2.0のみを受け入れるようにブラウザの構成を変更することで、SSLラボチェッカーの問題であることを確認できます。サイトに接続できる場合は、SSL2.0が引き続き有効になっています。それ以外の場合は無効になります。
Nartacソフトウェアと呼ばれる会社は、Windows 2003、2008、および2012でIIS)のプロトコルと暗号スイートを有効/無効にするために使用できる無料の IIS Crypto 構成ツールを作成します。また、IISをFIPS 140.2に準拠するように構成するためのテンプレートが付属し、パブリックURLをテストするための Qualys SSL サイトアナライザーと統合されます、および内部サイトの検証に使用できる他の検証ツールのリストがあります。