SSL/TLS评估是为了检测部署SSL/TLS的服务是否符合行业最佳实践,PCI DSS支付卡行业安全标准,Apple ATS规范,等级分级为T至A+,等级越接近A+越好。
前两天在检测本站的SLL评估的时候,发现SSL/TLS评级为6,对应B级,虽然对于个人博客网站和HTTPS没有什么影响,但是本着极客精神,还是去解决了一下,至少得拿个A级吧。
解决前:
降级原因:
- 服务器支持弱Diffie-Hellman(DH)密钥交换参数,降级为B
- 因为使用RC4密码套件,降级为B
解决方法:
通过修改注册表关闭不安全的支持,首先新建一个txt文本,复制下述代码,然后另存为.reg文件,完成执行,再检测即可发现已经达到A级,不会新建的可以到文章末尾下载。
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\KeyExchangeAlgorithms\Diffie-Hellman]
"Enabled"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 128/128]
"Enabled"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 40/128]
"Enabled"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 56/128]
"Enabled"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 64/128]
"Enabled"=dword:00000000
注:如果显示PCI DSS不合规,下载Nartac Software,选择GUI版本,然后在服务器上打开软件,点击Best Practices,按下图勾选后点击Apply,重启服务器即可,不会下载的在文章末尾下载IISCrypto可以。
附件下载:
![[在线工具] GitHub项目文件下载加速器](https://notes.tslmeta.com/wp-content/uploads/2021/03/微信截图_20210311100049-1-300x201.png)
![[在线工具] 使用百度API把文字或文本转成语音mp3](https://notes.tslmeta.com/wp-content/uploads/2021/06/564848484-1.jpg)
