יום שלישי, 7 בספטמבר 2010

Disable SSL 2 Windows 7


מסתבר שגרסה של WINDOWS SERVER 2008 SP1 מגיעה עם SSL 2 כברירת מחדל, כחלק מעמידה בתקן PCI DSS חובה לעבוד עם SSL 3 ו TLS 1.

על מנת להוסיף תמיכה ב SSL 3 וב TLS 1 יש לפתוח את ה REGEDIT.

1.להיכנס לספרייה:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols

יש ליצור שני מפתחות חדשים:
SSL 3.0
TLS 1.0

לדוגמה:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 3.0

בכל אחד מהמפתחות יש ליצור 2 מפתחות נוספים:
Client
Server

לדוגמה:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 3.0\Client\

לכל מפתח (CLIENT או SERVER)צריך להוסיף DWORD 32 BIT VALUE בשם: ENABLED עם VALUE = 1.
כאשר ה VALUE = 1 המערכת תומכת וכאשר הוא 0 היא לא.

נחזור למפתח SSL 2.0 ונבחר את ה DWORD שבתוכו (DisableByDefault או ENABLED ) ונשנה ל VALUE = 0

עכשיו יש לנו תמיכה ב SSL 3 \ TLS 1.0 , אבל זה לא מספיק צריך לוודא שאין WEAK CIPHERS במקרה שלי היה רק WEAK CIPHERS שהם מאוד חלשים במפתח הצפנה שלהם עד שהם ניתנים לחיזוי ע"י התוקפים.

נפתח את המפתח:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Ciphers
ונבנה בתוכו שלושה מפתחות חדשים:
RC2 128/128
RC4 128/128
Triple DES 128/128

לדוגמה:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Ciphers\RC2 128/128

שדרגנו את המפתח הצפנה.

בהצלחה...