我刚刚使用了www.ssllabs.com,并进行了一些testing – 我的服务器上限为B级,因为我的服务器接受RC4
此服务器接受RC4密码,这是弱。 等级上限为B.
我研究并发现,要禁用RC4我需要添加3个键,并将其启用的双字设置为0 链接和链接
我已经完成了RC4 40/128 RC 56/128 , RC 56/128和RC4 64/128
然后我重新启动我的服务器。 当服务器重新启动时,我validation了registry更改已完成,并且它们全部3存在,所有3个都将其启用值设置为0。
我返回到ssllabs,清除caching,重新运行testing,并返回相同的结果(由于RC4被启用,上限到B)。
在这个阶段,我不确定这是什么意思 – 如果SSLLabs显示不正确的结果(我将假设没有),我是否禁用了RC 4。
我怎么知道我是否已经成功禁用了RC4
编辑
我也看到了关于这个http://support.microsoft.com/kb/2868725?wa=wsignin1.0的知识库,所以现在尝试…我做了相同的registry更改,但是,当我尝试下载64位版本为W2008 R2标准,它无法安装与错误消息
此更新不适用于您的计算机
有一个工具来检查GUI中的密码顺序。 它每次都适合我 (如果你不信任这个exe文件的话,请在testing机器上试试。)
微软发布了一个关于RC4的安全公告 ,他们解释了如何在客户端和服务器端禁用RC4。 现在禁用RC4是最好的做法。
不要忘记在安全build议中执行Windows更新,因为在更新密码顺序之前要进行一个schannel更新。
更新完成后,您可以使用Microsoft咨询补丁工具(IISCrypto)或自行更新Windowsregistry:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 128/128] "Enabled"=dword:00000000 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 40/128] "Enabled"=dword:00000000 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 56/128] "Enabled"=dword:00000000