因為有需要使用ssl但是部署後發現伺服器默認使用了ssl2!
有兩種方式,一種直覺修改註冊表,另一種使用iis工具直覺修改。簡單粗暴!
https說明:
SSL/TLS 系列中有五種協議:SSL v2,SSL v3,TLS v1.0,TLS v1.1和TLS v1.2:
SSL v2 是不安全的,不能使用。
當與 HTTP(POODLE 攻擊)一起使用時,SSL v3 是不安全的,當與其他協議一起使用時,SSL v3 是弱的。它也是過時的,不應該被使用。
TLS v1.0 也是不應該使用的傳統協議,但在實踐中通常仍然是必需的。其主要弱點(BEAST)在現代瀏覽器中得到緩解,但其他問題仍然存在。
TLS v1.1 和 v1.2 都沒有已知的安全問題,只有 v1.2 提供了現代的加密算法。
TLS v1.2 應該是您的主要協議,因為它是唯一提供現代認證加密(也稱為 AEAD)的版本。如果您今天不支持 TLS v1.2,則缺乏安全性。
檢測網址兩種:
http://s.tool.chinaz.com/
https://myssl.com/
不安全請求檢查報告:
1.IISCrypto工具
官方網站地址:https://www.nartac.com/Products/IISCrypto/
下載地址:https://www.nartac.com/Products/IISCrypto/Download
應用設置後就完成了tls1.2的修改!重啟就會訪問檢查就會發現只啟用了1.2.其他都已經關閉!
修改完成後檢查報告:
2.以下使用reg自動來修改註冊表懶人必備! 註冊表方式沒有修改成功過。 推薦使用工具!
我們可以新建或使用reg修改
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Client]
"DisabledByDefault"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Client]
"DisabledByDefault"=dword:00000000
"Enabled"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Server]
"DisabledByDefault"=dword:00000000
"Enabled"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
"DisabledByDefault"=dword:00000000
"Enabled"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server]
"DisabledByDefault "=dword:00000000
"Enabled"=dword:00000001
打開reg執行後就會自動修改註冊表相關配置。
具體怎麼編寫看reg編寫規則。