Microsoft IIS - SSL 2.0 en SSL 3.0 uitschakelen

Laatst bijgewerkt op 28 sep. 2023 10:22:56.
Categorie: Alles over SSL certificaten

IIS 5 IIS 6 IIS 7 IIS 8 IIS 8.5 Microsoft SSL v2 SSL v3 TLS Windows server 2003 Windows server 2008 Windows server 2012 Windows server 2012 R2

Waarom SSL v2 en SSL v3 uitschakelen?

SSL 2.0 en SSL 3.0 zijn verouderde versies van het SSL protocol, en werden opgevolgd vervangen door het Transport Layer Security (TLS) protocol, dat betere beveiliging biedt. Bovendien is in 2014 een beveiligingsfout in SSL 3.0 ontdekt, POODLE, die de beveiliging van SSL volledig kan omzeilen. Het is daarom ten stelligste aan te raden om deze protocols op Microsoft IIS uit te schakelen.

We bieden u hieronder een overzicht van de verschillende mogelijkheden om SSL 2.0 en SSL 3.0 uit te schakelen.

Via IIS Crypto

IIS Crypto is een gratis utility voor Windows Server 2003, Windows Server 2008 en Windows 2012 die u toelaat om protocols en beveiligingssuites aan te passen voor IIS. De utility bevat een optie om alle aanbevolen opties om uw webserver optimaal te beveiligen in één enkele stap in te stellen.

Kinamo raadt u deze werkwijze aan, omdat IIS Crypto niet enkel SSL v2 en SSL v3 uitschakelt, maar ook zorgt voor een optimale configuratie van alle SSL/TLS veiligheidsparameters van uw webserver.

Via de Registry Editor

Kopieer onderstaande tekst in een bestand dat u bewaart met een .reg extensie. Dubbelklik vervolgens het bestand, en bevestig vervolgens als u een waarschuwing krijgt dat de Windows Registry aangepast zal worden.

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Server]
"Enabled"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Server]
"Enabled"=dword:00000000

Herstart vervolgens Windows Server.

Via Windows PowerShell

Voer het volgende Windows PowerShell script uit op de command-line of via System Center Configuration Manager (SCCM). Herstart daarna uw Windows Server.

$regPath1 = 'HKLM:SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 2.0'
$regPath2 = 'HKLM:SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 2.0\Server'
$regPath3 = 'HKLM:SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 3.0'
$regPath4 = 'HKLM:SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 3.0\Server'

If(!(Test-Path -Path $regPath1))
{
New-Item -Path $regPath1 -Force
}

If(!(Test-Path $regPath2))
{
New-Item -Path $regPath2 -Force
}
New-ItemProperty -Path $regPath2 -Name DisabledByDefault -PropertyType DWORD -Value "1" -Force
New-ItemProperty -Path $regPath2 -Name Enabled -PropertyType DWORD -Value "0" -Force

If(!(Test-Path $regPath3))
{
New-Item -Path $regPath3 -Force
}
If(!(Test-Path $regPath4))
{
New-Item -Path $regPath4 -Force
}
New-ItemProperty -Path $regPath4 -Name DisabledByDefault -PropertyType DWORD -Value "1" -Force
New-ItemProperty -Path $regPath4 -Name Enabled -PropertyType DWORD -Value "0" -Force