在IIS 6.0上的pci符合性

我有一个网站刚刚失败了PCI合规性检查 – 报告说，该网站支持弱密码。我以为我已经禁用了Web服务器上的SSL 2.0。（如果我告诉浏览器只使用SSL 2.0，它拒绝加载一个网页）

还有什么我需要禁用或检查？（这是一个networking农场，负载平衡器上有什么我需要看的 – 顺便说一句，LB应该只是简单地传递数据，encryption/解密都在Web服务器上完成）

Windows Server 2003，IIS 6.0，ASP.NET 2.0网站。

—更新—

通过GregD提供的链接，我解决了大部分问题。我仍然得到证书不被信任的问题。 SSL实验室的网站有助于提供一些提示，说明为什么会这样（但在其他方面并不十分明确）：

证书不可信的原因很多：

它在激活date之前使用（在date）

它在失效date之后使用（在date）

证书主机名与网站不匹配（主机名和网站匹配）

它已被撤销（我怎么知道？）

它是自签名的（这是通过verisign）

发行人不是一个知名的证书颁发机构（Verisign足够熟知？）

证书链不完整（我怎么知道？）

火狐似乎与证书相得益彰，在地址栏上放上一个不错的绿色区域。

除了closuresSSL 2.0之外，还有一点点。您也必须按照此 MS KB禁用弱encryptionalgorithm。你的PCI扫描应该指出它发现了什么。

您可以使用https://www.ssllabs.com/ssldb/index.html这样的网站来testing您的SSL证书。

我已经看到这样的情况是多个网站托pipe，一个SSL打开。确保证书上的通用名称也parsing为公共IP。

GregD的build议也不错，我们不得不去修改允许的密码。你的报告可能会抱怨1或2，但看看其他的，并决定你需要哪些。我们的报告抱怨56位密码，所以我们把它们closures了。 3个月后，他们抱怨60位的…

在Windows 2003上的IIS 6上，只需将以下内容合并到registry中即可：

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\PCT 1.0\Server] "Enabled"=dword:00000000 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Server] "Enabled"=dword:00000000 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\DES 56/56] "Enabled"=dword:00000000 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\NULL] "Enabled"=dword:00000000 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC2 40/128] "Enabled"=dword:00000000 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC2 56/128] "Enabled"=dword:00000000 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 40/128] "Enabled"=dword:00000000 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 56/128] "Enabled"=dword:00000000 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 64/128] "Enabled"=dword:0000000

资料来源： http ： //blog.zenone.org/2009/03/pci-compliance-disable-sslv2-and-weak.html

为什么IIS拒绝提供ASP.NET内容？