Windows 服务器禁用 SSL 2 和 SSL 3 协议
一、前言
首先说明一下,SSL 2 和 SSL 3 协议是两种过时的协议,原因是它们存在很严重的漏洞,所以我们要在服务端禁用 SSL 2 和 SSL 3 协议,以避免一些安全问题。
-
SSL 2 协议:漏洞名为 DROWN(溺水攻击 / 溺亡攻击)。DROWN 漏洞可以利用过时的 SSL 2 协议来解密与之共享相同 RSA 私钥的 TLS 协议所保护的流量。
-
SSL 3 协议:漏洞名为 POODLE(卷毛狗攻击)。POODLE 漏洞只对 CBC 模式的明文进行了身份验证,但是没有对填充字节进行完整性验证,攻击者窃取采用 SSL 3 版加密通信过程中的内容,对填充字节修改并且利用预置填充来恢复加密内容,以达到攻击目的。
关于更多基于 SSL/TLS 协议的漏洞,请查看这篇文章《常见的几种 SSL/TLS 漏洞及攻击方式》。
在 Windows 系统中,服务器如果使用 Windows Server 2016 版本系统,那么恭喜你了,你可以省去禁用 SSL 2 和 SSL 3 协议的工作了,因为在此版本系统以后,微软已经默认禁用这两种协议了。如果你还不放心,下面有 SSL 服务器测试能帮你检测。其它版本系统,可参照下文介绍的 2 种设置方法来禁用协议。
https://www.nartac.com/Products/IISCrypto/
https://www.ssllabs.com/ssltest/index.html
Protocols in TLS/SSL (Schannel SSP) - Windows applications
转载自:https://www.123si.org/os/article/windows-server-disables-ssl-2-and-ssl-3-protocols/