IIS の SSL 2.0 を無効化

Windows Server 2008 R2 の IIS 7.5 でも SSL 2.0 が既定で有効になっているので無効にしましょう。

対策方法

レジストリで SSL 2.0 を無効化します。

C:\Users\Administrator>reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Server" /v "Enabled" /t "REG_DWORD" /d "0x0"
(再起動)

対策前

Linux からチェックします。openssl に echo するには sleep 2 以上をはさむ必要があるようです。

$ ( echo -e "GET / HTTP/1.0\n" ; sleep 2 ) | openssl s_client -connect 192.168.0.128:443 -ssl2
CONNECTED(00000003)
: (snip)
New, SSLv2, Cipher is DES-CBC3-MD5
: (snip)
HTTP/1.1 200 OK
Content-Type: text/html
Last-Modified: Thu, 12 Nov 2009 00:31:48 GMT
Accept-Ranges: bytes
ETag: "f0de38852f63ca1:0"
Server: Microsoft-IIS/7.5
Date: Wed, 27 Jan 2010 14:14:03 GMT
Connection: close
Content-Length: 689
: (snip)

対策後

$ ( echo -e "GET / HTTP/1.0\n" ; sleep 2 ) | openssl s_client -connect 192.168.0.128:443 -ssl2
CONNECTED(00000003)
write:errno=104

参考文書

• インターネット インフォメーション サービスで PCT 1.0、SSL 2.0、SSL 3.0、または TLS 1.0 を無効にする方法 (Microsoft)