我们的安全扫描发现存在以下缺陷。
SSL 2.0 弃用协议(protocol)
现在我已经告诉我们的安全人员,这要么是服务器问题,要么是我们的 BigIP 问题,或者是误报,因为我还没有在 web.config 中看到任何关闭 SSL 2.0 的信息,而且我'我只控制网站中的内容,而不是 IIS,我不认为这是一个问题,但他仍然把它扔给我,说这是一个需要修复的网站问题。
我的问题是,我说网站上没有任何我可以解决这个问题(在 web.config 中设置)的说法是否正确,这是服务器问题 (IIS),或者很可能是升级 SSL 等。
最佳答案
大多数安全扫描报告在每个问题旁边都带有链接,其中包含有关如何解决问题的说明。也许安保人员对您有所隐瞒,或者只是不想处理这个问题。
无论如何,您是对的——没有可以解决问题的 IIS 或 web.config 设置。只有注册表黑客才能做到这一点:
关于security - 禁用 SSL 2.0/3.0,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/6591344/