Để đảm bảo an toàn cho máy chủ và để đảm bản bạn có thể thực hiện quét PCI-DSS, chỉ cần vô hiệu hóa SSL 2.0 và SSL 3.0 trên IIS 7 loại bỏ chứng chỉ SSL cũng như các giao thức mật mã kém đi. Các thuật toán khác cũng không an toàn và các thuật toán hiện tại có thể không được sử dụng trong tương lai.
Sử dụng GUI để vô hiệu hóa SSL 2.0 và SSL 3.0
Cách đơn giản nhất để vô hiệu hóa các giao thức và mật mã không an toàn là sử dụng GUI. Vì lý do Windows không cung cấp giao diện như vậy, nên bạn sẽ phải sử dụng các công cụ như IIS Crypto của Nartac để vô hiệu hóa các giao thức không an toàn.
Tải IIS Crypto về máy và cài đặt tại đây : Download IIS Crypto
Vô hiệu hóa SSL 2.0 và SSL 3.0 theo cách thủ công
Để vô hiệu hóa SSL 2.0 và SSL 3.0 trên IIS 7 the cách thủ công và đảm bảo các giao thức TLS được sử dụng, bạn thực hiện theo các bước dưới đây:
Bước 1: Click chọn Start =>Run, sau đó nhập regedit vào cửa sổ lệnh Run rồi nhấn Enter hoặc click chọn OK để mở Registry Editor.
Bước 2: Trên cửa sổ Registry Editor, bạn điều hướng theo key dưới đây:
HKey_Local_Machine\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols
Bước 3: Kích chuột phải vào thư mục SSL 2.0, chọn New => Key. Đặt tên cho thư mục mới này là Server.
Bước 4: Trong thư mục Server, click chọn menu Edit, chọn New =>DWORD (32-bit) Value.
Bước 5: Đặt tên DWORD (32-bit) Value mới này là Enabled rồi nhấn Enter.
Bước 6: Đảm bảo giá trị của value mới này được thiết lập và hiển thị trong cột Data là 0x00000000 (0). Nếu không, kích chuột phải vào value, chọn Modify và thiết lập giá trị trong khung Value data là 0.
Bước 7: Tiếp theo vô hiệu hóa SSL 3.0, kích chuột phải vào thư mục SSL 3.0, chọn New =>Key. Đặt tên cho thư mục mới là Server.
Bước 8: Trong thư mục Server, click chọn menu Edit, chọn New =>DWORD (32-bit) Value.
Bước 9: Đặt tên DWORD (32-bit) Value mới này là Enabled rồi nhấn Enter.
Bước 10: Đảm bảo giá trị của value mới này được thiết lập và hiển thị trong cột Data là 0x00000000 (0). Nếu không, kích chuột phải vào value, chọn Modify và thiết lập giá trị trong khung Value data là 0
Bước 11: Khởi động lại máy tính của bạn.
Bước 12: Kiểm tra lại để xác nhận không có mã nhị phân SSL 2.0 hoặc SSL 3.0 nào có sẵn tại ServerSniff.net hoặc Public SSL Server Database.
Lưu ý: Về cơ bản cách vô hiệu hóa SSL 2.0 và 3.0 trên IIS 7 tương tự như trên IIS 6 (Windows Server 2003). Thông thường key Server trong SSL 2.0 đã được tạo sẵn, nhiệm vụ của bạn chỉ cần tạo một value DWORD trong key Server và đặt tên value mới này là Enabled.
Vô hiệu hóa các giao thức mật mã kém trên IIS 7.0
Ngoài vô hiệu hóa SSL 2.0 và SSL 3.0, bạn có thể vô hiệu hóa các giao thức mật mã kém khác bằng cách tinh chỉnh Registry. Để thực hiện quá trình này nhanh hơn, bạn sao chép và dán đoạn mã dưới đây vào file text, lưu file dưới tên là disableWeakCiphers.reg và kích đúp chuột vào file là xong:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\DES 56/56]
"Enabled"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\NULL]
"Enabled"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC2 40/128]
"Enabled"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC2 56/128]
"Enabled"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 40/128]
"Enabled"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 56/128]
"Enabled"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 64/128]
"Enabled"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\PCT 1.0\Server]
"Enabled"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Server]
"Enabled"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Server]
"Enabled"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Client]
"DisabledByDefault"=dword:00000001
Trên đây là cách vô hiệu hóa SSL 2.0 và SSL 3.0 trên IIS 7. Bằng cách vô hiệu hóa các giao thức không an toàn này, máy chủ của bạn sẽ được bảo vệ an toàn.
Chrome là trình duyệt mà người dùng hay gặp lỗi SLL khi duyệt web nhất, trường hợp gặp phải lỗi này, bạn tham khảo cách sửa lỗi SLL trên Chrome tại đây