Score:0

ปิดใช้งาน SSLv3 ในรีจิสทรีของ Windows แต่ยังคงแสดงช่องโหว่ POODLE

ธง fr

เซิร์ฟเวอร์ Windows 2016 มาตรฐาน

เมื่อเร็ว ๆ นี้เราโดนโจมตีด้วยความพยายามอย่างดุร้ายโดยใช้ POODLE ฉันได้ค้นคว้าเล็กน้อยและพบว่าเราควรปิดการใช้งาน SSLv3 อย่างไรก็ตาม เมื่อฉันเข้าไป:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\ 

...และดูที่คีย์ SSL 3.0 ของฉัน ฉันมีทั้งโฟลเดอร์ไคลเอ็นต์และเซิร์ฟเวอร์อยู่ในนั้นแล้ว และทั้งคู่มี DWORD สองตัวเหมือนกัน: DisabledByDefault (1) และ Enabled (0) ฉันต้องทำสิ่งนี้มาแล้วในจุดหนึ่ง: https://www.digicert.com/kb/ssl-support/iis-disabling-ssl-v3.htm

หากฉันสแกนไซต์ของเราโดยใช้เครื่องสแกนออนไลน์:

https://www.poodlescan.com ผลลัพธ์ของพุดเดิ้ล: เปิดใช้งาน SSLv3

https://www.site24x7.com/ ผลลัพธ์ของ POODLE: เกิดข้อผิดพลาดขณะตรวจสอบ SSL3 Poodlebleed Vulnerability สำหรับโดเมน

https://ssl-tools.net/ ผลลัพธ์ของ POODLE: ทั้งหมดแสดง TLSv1.2 โดยขีดฆ่า SSLv3 (ขีดทับ)

ดังนั้น. หมากฮอสสามตัวที่มีผลลัพธ์ต่างกันสามแบบ อืม.

เห็นได้ชัดว่าฉันเป็นคนเดียวที่ใช้ Windows และ IIS กับปัญหานี้ (ทุกการอ้างอิงที่ฉันพบที่นี่จนถึงตอนนี้เกี่ยวกับ apache และ nginx) ดังนั้นฉันจึงโพสต์คำถาม ฉันต้องทำอะไรอีกเพื่อปิดใช้งาน SSLv3 และหยุดความพยายามอย่างดุร้ายของ POODLE ปริมาณการเข้าชมที่ท่วมท้นนี้ทำให้ไซต์ของเรารายงาน 503 Service Unavailable ทุกสองสามนาที

เซิร์ฟเวอร์อื่น TLSV1.2 พุดเดิ้ล CBC เติมพลังเดรัจฉานพยายาม

in flag
คุณใช้เซิร์ฟเวอร์ Windows เวอร์ชันใด
00fruX avatar
fr flag
อ๊ะ. เซิร์ฟเวอร์ Windows 2016 มาตรฐาน
in flag
พุดเดิ้ลสแกนดูเหมือนจะมีข้อบกพร่อง ไม่ว่าฉันจะทดสอบโดเมนใดตามเว็บไซต์นี้ พวกเขาทั้งหมดเปิดใช้งาน SSLv3 ซึ่งไม่เป็นความจริง
Score:0
ธง se

เครื่องมือต่อไปนี้ทำให้การเปลี่ยนแปลง IIS crypto/SSL/TLS เป็นเรื่องง่าย: https://www.nartac.com/Products/IISCrypto

ลองตรวจสอบดู แต่อย่าลืมช่องทำเครื่องหมาย: https://www.ssllabs.com/ssltest/

โพสต์คำตอบ

คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา