How to Disable SSL Version 2 and 3 Protocol in IIS

บทนำ (Overview)

วิธีการปิด Protocol SSL version 2 และ 3 บน IIS

ขั้นตอน (Steps)

1. สามารถติดตั้ง Web Server ได้จากบทความ
   • How to enable IIS 7 on Windows Server 2008 or Window Server 2008 R2
   • How to enable SSL on IIS 7
2. สามารถตรวจสอบช่องโหว่ได้ด้วยเองจากบทความ (http://blog.itselectlab.com/?p=3867)
3. ผล Scan ช่องโหว่ของ SSL version 2 และ 3 protocol ของ IIS เป็นดังรูป
   • Nessus
   • testSSL

---

วิธี Manual

1. คลิก  Start, Run, พิมพ์ regedit, และคลิก OK
2. ให้ไปที่

   HKey_Local_Machine\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols
   

   

3. คลิกขวาที่ SSL 2.0. โฟลเดอร์ เลือก New แล้วคลิก Key 
4. ตั้งชื่อให้โฟลเดอร์ใหม่ ชื่อ Server
5. เข้าไปใน Folder ที่เราสร้างขึ้นมาใหม่. จากนั้นคลิก Edit แล้วเลือก New  และคลิก  DWORD (32-bit) Value.
6. พิมพ์ Enabled แล้ว Enter
7. ตรวจสอบให้แน่ใจว่า ในคอลัมมภ์ Data มีค่าเป็น (โดยปกติเป็นค่า Default ถ้าไม่ใช่ให้เลือก Modify แล้วเปลี่ยนเป็น 0)

   0x00000000 (0)
   

8. ทดลอง Restart เครื่อง Computer แล้ว Scan อีกครั้งจะพบว่า SSL v2.0 ถูกปิดไปแล้ว
9. จากนั้นปิด SSLv3. เพิ่ม โดยการเพิ่มโฟลเดอร์ SSL 3.0 ถ้าไม่มี
10. จากนั้นให้ตั้งค่าเหมือนกับ SSLv2 และ Restart เครื่องอีกครั้ง 
11. ทดสอบ Scan อีกครั้งพบว่าช่องโหว่ได้หายไปแล้ว

อ้างอิง (References)

• https://www.sslshopper.com/article-how-to-disable-ssl-2.0-in-iis-7.html
• https://www.ssllabs.com/projects/best-practices/