我使用IIS7运行Windows 2008服务器。 我需要使用SSL 3.0进行PCI合规性,但每当我阅读使用它,所有文章解释为禁用SSL 2.0。 如果我这样做,IIS会自动从这一点使用SSL 3.0?
在registry这里[HKey_Local_Machine\System\CurrentControlSet\Control\SecurityProviders \SCHANNEL\Protocols]它只有一个SSL 2.0文件夹和一个Client文件夹在里面,这是否正确? 不应该有一个SSL 3.0文件夹?
是的,禁用SSL 2.0将确保IIS只使用SSL 3.0或TLS 1.0。 您还可以禁用单个密码algorithm,以确保SSL3 / TLS只使用“最佳”algorithm,尽pipe如果从IIS SSLconfiguration的GUI中select“需要128位encryption”,这不是一个实际的问题。 SSL3和TLS中的所有> 128位algorithm都是“强大的”,没有实际的中断,除非您有非常具体的法规要求,否则可以安全使用。
有关详细信息,请参阅http://support.microsoft.com/kb/187498 。