我们有一个应用程序需要在 Windows Server 2016 上启用 SSL3。服务器是内部的,没有公共(public)访问权限。
我遵循了 Microsoft 的步骤:https://learn.microsoft.com/en-us/windows-server/security/tls/tls-registry-settings#ssl-30
除了我设置enabled为1。但是服务器仍然不接受SSL3连接。
有什么我想念的吗?
谢谢
最佳答案
显然这是一个糟糕的想法,但如果您绝对必须在服务器 '16 上使用 SSL v3 进行某些操作,那么您将需要修改其他 SChannel 设置以启用旧密码/密码套件/哈希/ key 交换以及启用 sslv3 协议(protocol)本身。
所有 SChannel 设置都在以下键中配置:HKLM\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\
。有很多关于在 Server 2003 和 2008 上保护 SSLv3 的指南——很确定注册表路径没有改变——但我不确定服务器 2016 是否真的支持上述所需的组合(我猜它仍然存在并且被禁用)。根据您的系统的年龄,您应该能够计算出可能支持的配置。此外,似乎认为在某些 schannel 子项上有一个名为 DisableByDefault
和 Enabled
的值。
免责声明 - 这是一个糟糕的想法 - 许多 Windows 服务都使用 SChannel,而您建议的配置会使整个服务器面临不必要的风险(例如 Powershell 远程处理和 RDP 也依赖 SChannel)。
您应该考虑的几件事...
- 通过削弱服务器端,您是否还必须对客户端进行更改以允许其他系统(或更糟糕的实际台式机和笔记本电脑)建立连接?
- 不要仅仅因为某些东西在您的内部网络上,就认为它不会受到攻击(通过被黑的 WIFI 或恶意软件等)。确保其位于 DMZ/VLAN/防火墙(入站和出站)中,以便您可以严格控制访问并降低风险。
- 我假设需要 SSLV3 的东西是不可维护的,是否可以使用某种描述的代理来卸载 SSL entirley,或充当“中间人”并解密/重新 -加密从 SSLv3 到 TLS 的流量。
关于ssl - 在 Windows Server 2016 中启用 SSL3,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/52691941/