对于PCI合规性,需要禁用TLS 1.0。通过编辑注册表,我能够在Windows 2012上运行,没有任何问题:
添加DWORD DisabledByDefault并将
设置为1HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SecurityProviders \ SCHANNEL \ Protocols \ TLS 1.0 \ Client HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SecurityProviders \ SCHANNEL \ Protocols \ TLS 1.0 \ Server
然后我重新启动了服务器。运行nmap扫描时,TLS显示为禁用。但是,对于Windows 2008 R2执行相同的操作并不起作用,即使https://support.microsoft.com/en-us/kb/187498表明应该这样做。当我对Windows 2008 R2进行更改时,SSL站点根本不会显示在浏览器中(尝试使用多个浏览器来排除浏览器问题)。
当在Chrome中访问SSL站点时,我得到ERR_CONNECTION_RESET但我可以telnet到端口443,这将排除IIS和网络问题。似乎特定的服务器密钥是导致问题的密钥。当我删除它时,该站点在浏览器中工作,但是然后nmap显示启用了TLSv1.0,它返回到第一个。
有关在Windows 2008 R2上禁用TLS 1.0的任何想法吗?我没有想法,尝试了一些组合无济于事。
感谢您的帮助!
答案 0 :(得分:2)
我在Windows Server 2008 R2中获得相同的功能,直到我手动添加并启用TLS 1.1和TLS 1.2键和子键并重新启动。
确保Client和Server子项都具有这些DWORD值。
DisabledByDefault = 00000000
Enabled = ffffffff
查看有关主题https://support.microsoft.com/en-us/kb/245030的Windows支持文章。 (向下滚动到底部的“对于Windows的更高版本”部分。)