7
我最近从McAfee服务(以前称为HackerSafe)收到通知,说我的网站使用的是SSLv2,它应该使用SSLv3。我对SSL的版本一无所知。我的网站正在使用IIS 6.0,有没有设置某处可以打开SSLv3,还是我需要安装一些东西来实现这个目的?另外,仅使用SSLv3有什么缺点?有浏览器只能使用v2吗?在IIS 6.0中使用SSLv3
A
回答
4
微软有关于禁用SSLv3的知识库文章,显然它与启用它的位置相同。 http://support.microsoft.com/kb/187498/en-us
10
TravisO的答案中引用的Microsoft KB Article有助于一般参考。我使用的那篇文章的信息一起从ServerSniff.net的SSL analysis tool
而且收集到的信息,您可以复制和下面的代码片段粘贴到一个.reg文件快速禁止的SSLv2上的Web农场:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Server]
"Enabled"=dword:00000000
在关于对SSLv3的浏览器支持,以下信息应该帮助(从McAfee扫描警报拍摄):
在Internet Explorer 7中,默认 HTTPS协议设置被更改为 禁用较弱的SSLv2协议,并启用较强大的TLSv1协议。 默认情况下,IE7用户将只有 使用 SSLv3或TLSv1协商HTTPS连接。 Mozilla Firefox的 预计将在其即将推出的版本 中放弃对SSLv2的支持。
由于几乎所有的现代浏览器都支持 SSLv3的,禁用的 较弱的SSL方法应该有最小的 抗冲击能力。以下浏览器支持 的SSLv3:
- Internet Explorer 5.5或更高版本(PC)
- Internet Explorer 5.0或更高版本(苹果机)
- 网景2.0(国内)或更高版本(PC/Mac的)
- 火狐0.8或更高(PC/MAC/Linux)的
- Mozilla的1.7或更高(PC/MAC/Linux)的
- 卡米诺0.8或更高(苹果机)
- Safari 1.0或更高(苹果机)
- 歌剧1.7或更高版本(PC/Mac的)
- 了OmniWeb 3.0或更高版本(苹果机)
- 的Konqueror 2.0或更高版本(Linux)的
1
如果你正在寻找解决这个你可能也想要修复弱密码,因为大多数扫描器都会抱怨这两者。那是Microsoft KB245030。一般来说,任何支持SSLv3的浏览器都将支持比那些链接上的脚本关闭的更新更强大的密码。
我知道ServerFault在问这个时候不存在,但我认为它现在属于那里。 – 2009-08-04 14:58:27