Exchange\IIS için SSL\TLS\Chiper Desteği

Merhaba,

Aşağıda güvenlik açığı olarak tanımlanabilecek Exchange/IIS için SSL/TLS ve Chiper’larda desteklenme durumu ve zayıf şifreleme metodlarını kapatma işlemlerinden bahsedeceğim.

Öncelikle ;

En büyük yardımcımız olan tool olan IISCrypto linkten edinebilirsiniz.

https://www.nartac.com/Products/IISCrypto/Download

Test için önerim ;

https://foundeo.com/products/iis-weak-ssl-ciphers/test.cfm

Şimdi biraz detaylardan bahsedelim ;

CRYPTOLOGY

  • DES (Data Encryption Algorithm) – 3DES // 56 Bit x 3 -Weak
  • RC4 – 128 Bit – Weak
  • AES (Advaced Encryption Standard) 128 – 192 -256 Bit -Strong

Hashing Algorithm

  • MD5 (Message-Digest 5 ) (128 Bit)
  • SHA1 (Secure Has Algorithm) 160 Bit – SHA256 –SHA512

RSA – Şifreleme + Sayısal İmza

SSL v2 – SSL v3 Reg üzerinde Kapatılması ;

Client Key

Name:DisabledByDefault Value:1

Server Key

Name:Enabled Value:0

cid:image006.png@01D3A1CC.59F9F4B0

SSL v3 Özel Uyarı ;

SSL 3.0 için şöyle bir durum var XP makineler mevcutsa bu durum desteklenmeyebiliyor (SP3/İE6 üzeri istemler) gibi clientlar da kontrolü gerekir.

So when you disable SSL 3.0, this has two effects:

  • Clients that support higher versions cannot be tricked into falling back to the vulnerable version (TLS Fallback SCSV is a new proposed mechanism to prevent a protocol downgrade attack, but not all clients and servers support it yet). This is the reason you want to disable SSL 3.0. The vast majority of your clients likely fall into this category, and this is beneficial.
  • Clients that do not support TLS at all (as others have mentioned, IE6 on XP is pretty much the only one still used for HTTPS) will not be able to connect through an encrypted connection at all. This is likely a minor portion of your userbase, and it’s not worth sacrificing the security of the majority who are up-to-date to cater to this minority.,

http://serverfault.com/questions/637706/poodle-is-disabling-ssl-v3-on-server-really-a-solution

TLS 1.0/1.1 ;

TLS 1.0 ‘ın kapatılması güncel Exchange versiyonlarında sunucuya gelecek Client bağlantılarında sorun oluşturabileceğinden kapatılması şu an desteklenmemekte.

TLS 1.2 içinde detaylar mevcut 😉

https://blogs.technet.microsoft.com/exchange/2018/01/26/exchange-server-tls-guidance-part-1-getting-ready-for-tls-1-2/

https://blogs.technet.microsoft.com/exchange/2015/07/27/exchange-tls-ssl-best-practices/

2 hakkında “Exchange\IIS için SSL\TLS\Chiper Desteği” görüş

Bir Cevap Yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir