SSLv2を無効にしましたが、SSLv3がオンになっています。しかし、失敗したリモートサーバーに接続できません
クライアントとサーバーは共通のアルゴリズムを持っていないため、通信できません
リモートサーバーと私たちのサーバーでSSLチェック( http://www.serversniff.net/sslcheck.php )を実行しましたが、私たちのサーバーで受け入れている暗号がないことに気づきました。これはどのように構成できますか? (Windows Web Server 2008)
リモートサーバーが受け入れるSSL暗号:
DHE-RSA-AES256-SHA
AES256-SHA
EDH-RSA-DES-CBC3-SHA
DES-CBC3-SHA
DHE-RSA-AES128-SHA
AES128-SHA
私たちのサーバーはデフォルトで以下を受け入れます:
DES-CBC3-SHA
RC4-SHA
RC4-MD5
構成に触れていない場合、強力な暗号スイートがデフォルトで有効になっています。 VistaおよびServer2008のデフォルトの暗号スイートのリストは [〜#〜] msdn [〜#〜] にあります。
あなたがリストしたものは、それらが欠けている部分であるため、完全に暗号スイート名ではありません。 AES128-SHAはその一部にすぎません。暗号スイートには、鍵交換アルゴリズム、暗号化/復号化アルゴリズム、hmacアルゴリズムなど、いくつかの部分があるため、AES128-SHAの例には鍵交換アルゴリズムがありません。適切な名前はTLS_RSA_WITH_AES_128_CBC_SHAになります。
公的に到達可能なWebサーバーをテストするには、ssllabs.comをお勧めします。
非常に便利なpythonスクリプト http://www.thesprawl.org/projects/sslmap/
私は最近これらの指示に従いました(ただしサーバー2003の場合)。
特定の暗号化アルゴリズムとプロトコルの使用を制限する方法
http://support.Microsoft.com/kb/2450
(regeditセクション)
(サーバー2008および2003の場合)インターネットインフォメーションサービスでPCT 1.0、SSL 2.0、SSL 3.0、またはTLS1.0を無効にする方法
http://support.Microsoft.com/kb/187498
(SSL 3.0/TLS 1.0を維持しました)
これらの変更を行った後、IISを再起動する必要があります。