虽然现在大部分网站系统都选择php+linux系统组合,但是windows服务器还是有用户在用的,那么网站做https后需要对IIS做权限安全配制,手工一个个去注册表找出来修改还是很麻烦的事~西西推荐大家使用IISCrypto工具进行直接设置,设置完成了保存,多数设置无需重启服务器就可以即时生效(部份设置要重启才生效)。window服务器禁用默认的ssl2.0和ssl3.0只启用启用tls1.2保证安全
(阿里云,腾讯云,宝塔系统等等windows均适用)上图,有图有真相~
设置完成后,使用这个工具,可以在线检测网站的SSL证书是否安全,是否存在漏洞,是否达到ssL行业标准,符合苹果ATS规范,能否通过微信小程序安全要求。同时提供证书格式转换,CSR,证书链,SSL配置生成等。
https说明:
SSL/TLS 系列中有五种协议:SSL v2,SSL v3,TLS v1.0,TLS v1.1和TLS v1.2:
SSL v2 是不安全的,不能使用。
当与 HTTP(POODLE 攻击)一起使用时,SSL v3 是不安全的,当与其他协议一起使用时,SSL v3 是弱的。它也是过时的,不应该被使用。
TLS v1.0 也是不应该使用的传统协议,但在实践中通常仍然是必需的。其主要弱点(BEAST)在现代浏览器中得到缓解,但其他问题仍然存在。
TLS v1.1 和 v1.2 都没有已知的安全问题,只有 v1.2 提供了现代的加密算法。
TLS v1.2 应该是您的主要协议,因为它是唯一提供现代认证加密(也称为 AEAD)的版本。如果您今天不支持 TLS v1.2,则缺乏安全性。
点这里:SSL安全检测
这里简单的介绍下IIS Crypto:
IIS Crypto软件是一款专门为电脑服务器打造的智能管理工具,使管理员能够在Windows Server 2008、2012和2016上启用或禁用协议、密码、散列和密钥交换算法。用户可以通过软件对服务进行各类密码以及相关协议的重置,帮助用户轻松管理IIS安全,使用更加方便,它还允许您重新排序IIS提供的SSL/TLS密码套件!
IIS Crypto使用Microsoft 从本文中的相同设置更新注册表 。它还以与组策略编辑器(gpedit.msc)相同的方式更新加密套件顺序。此外,IIS Crypto还允许您创建可以保存在多个服务器上的自定义模板。命令行版本包含与GUI版本相同的内置模板,也可以与您自己的自定义模板一起使用。
IIS Crypto requires Windows Server 2008 and the .Net 4.0 framework or greater. Both GUI and command line versions are available.
IIS Crypto是一款免费工具,使管理员能够在Windows Server 2008,2012和2016上启用或禁用协议,密码,哈希和密钥交换算法;它还允许您对IIS提供的SSL / TLS密码套件进行重新排序,实施最佳做法只需点击一下,创建自定义模板并测试您的网站!
IIS Crypto主要功能:
-命令行版本
-启用前向保密
-重新排列密码套件
-启用TLS 1.1和1.2
-站点扫描程序来测试您的配置
-单击即可使用最佳做法保护您的网站
-禁用弱协议和密码,如SSL 2.0,3.0和MD5
-内置最佳实践,PCI,PCI 3.1和FIPS 140-2模板
-创建可以保存并在多台服务器上运行的自定义模板
-停止DROWN,logjam,FREAK,POODLE和BEAST
IIS Crypto 2.0引入了创建自己的自定义模板的功能,可以保存然后在任意数量的服务器上执行。要创建您自己的模板,请选择您的配置的所有设置。点击模板按钮,如果需要,给你的模板一个名字,作者和描述。然后点击保存按钮将你的模板保存到磁盘。将模板复制到另一台服务器上,运行IIS Crypto,然后单击“打开”按钮以加载模板。您也可以从命令行版本的IIS Crypto中使用它。
-加载最佳实践模板,然后开始自定义您自己的模板,以确保您的模板安全设置。
-如果您的模板与IIS Crypto位于同一文件夹中,则它将自动显示在下拉框中,而无需先单击“打开”按钮。