雖然現在大部分網站系統都選擇php+linux系統組合,但是windows服務器還是有用戶在用的,那么網站做https后需要對IIS做權限安全配制,手工一個個去注冊表找出來修改還是很麻煩的事~西西推薦大家使用IISCrypto工具進行直接設置,設置完成了保存,多數設置無需重啟服務器就可以即時生效(部份設置要重啟才生效)。window服務器禁用默認的ssl2.0和ssl3.0只啟用啟用tls1.2保證安全
(阿里云,騰訊云,寶塔系統等等windows均適用)上圖,有圖有真相~
設置完成后,使用這個工具,可以在線檢測網站的SSL證書是否安全,是否存在漏洞,是否達到ssL行業標準,符合蘋果ATS規范,能否通過微信小程序安全要求。同時提供證書格式轉換,CSR,證書鏈,SSL配置生成等。
https說明:
SSL/TLS 系列中有五種協議:SSL v2,SSL v3,TLS v1.0,TLS v1.1和TLS v1.2:
SSL v2 是不安全的,不能使用。
當與 HTTP(POODLE 攻擊)一起使用時,SSL v3 是不安全的,當與其他協議一起使用時,SSL v3 是弱的。它也是過時的,不應該被使用。
TLS v1.0 也是不應該使用的傳統協議,但在實踐中通常仍然是必需的。其主要弱點(BEAST)在現代瀏覽器中得到緩解,但其他問題仍然存在。
TLS v1.1 和 v1.2 都沒有已知的安全問題,只有 v1.2 提供了現代的加密算法。
TLS v1.2 應該是您的主要協議,因為它是唯一提供現代認證加密(也稱為 AEAD)的版本。如果您今天不支持 TLS v1.2,則缺乏安全性。
點這里:SSL安全檢測
這里簡單的介紹下IIS Crypto:
IIS Crypto軟件是一款專門為電腦服務器打造的智能管理工具,使管理員能夠在Windows Server 2008、2012和2016上啟用或禁用協議、密碼、散列和密鑰交換算法。用戶可以通過軟件對服務進行各類密碼以及相關協議的重置,幫助用戶輕松管理IIS安全,使用更加方便,它還允許您重新排序IIS提供的SSL/TLS密碼套件!
IIS Crypto使用Microsoft 從本文中的相同設置更新注冊表 。它還以與組策略編輯器(gpedit.msc)相同的方式更新加密套件順序。此外,IIS Crypto還允許您創建可以保存在多個服務器上的自定義模板。命令行版本包含與GUI版本相同的內置模板,也可以與您自己的自定義模板一起使用。
IIS Crypto requires Windows Server 2008 and the .Net 4.0 framework or greater. Both GUI and command line versions are available.
IIS Crypto是一款免費工具,使管理員能夠在Windows Server 2008,2012和2016上啟用或禁用協議,密碼,哈希和密鑰交換算法;它還允許您對IIS提供的SSL / TLS密碼套件進行重新排序,實施最佳做法只需點擊一下,創建自定義模板并測試您的網站!
IIS Crypto主要功能:
-命令行版本
-啟用前向保密
-重新排列密碼套件
-啟用TLS 1.1和1.2
-站點掃描程序來測試您的配置
-單擊即可使用最佳做法保護您的網站
-禁用弱協議和密碼,如SSL 2.0,3.0和MD5
-內置最佳實踐,PCI,PCI 3.1和FIPS 140-2模板
-創建可以保存并在多臺服務器上運行的自定義模板
-停止DROWN,logjam,FREAK,POODLE和BEAST
IIS Crypto 2.0引入了創建自己的自定義模板的功能,可以保存然后在任意數量的服務器上執行。要創建您自己的模板,請選擇您的配置的所有設置。點擊模板按鈕,如果需要,給你的模板一個名字,作者和描述。然后點擊保存按鈕將你的模板保存到磁盤。將模板復制到另一臺服務器上,運行IIS Crypto,然后單擊“打開”按鈕以加載模板。您也可以從命令行版本的IIS Crypto中使用它。
-加載最佳實踐模板,然后開始自定義您自己的模板,以確保您的模板安全設置。
-如果您的模板與IIS Crypto位于同一文件夾中,則它將自動顯示在下拉框中,而無需先單擊“打開”按鈕。
