Recientemente recibí una notificación de un servicio de McAfee (lo que solía llamarse HackerSafe) que mi sitio web usa SSLv2 y debería estar usando SSLv3. No sé nada sobre las versiones de SSL. Mi sitio está usando IIS 6.0, ¿hay alguna opción para activar SSLv3 o necesito instalar algo para que esto suceda? Además, ¿hay algún inconveniente al solo usar SSLv3? ¿Hay navegadores que solo pueden usar v2?Uso de SSLv3 en IIS 6.0
Microsoft tiene un artículo de KB sobre la desactivación de SSLv3, obviamente está en el mismo lugar que lo habilita. http://support.microsoft.com/kb/187498/en-us
El Microsoft KB Article al que se hace referencia en la respuesta de TravisO es útil de referencia general. He utilizado la información de dicho artículo, junto con la información obtenida de la ServerSniff.net SSL analysis tool
Además, puede copiar y pegar el siguiente fragmento en un archivo .reg para desactivar rápidamente SSLv2 en una granja web:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Server]
"Enabled"=dword:00000000
En lo que respecta a la compatibilidad con exploradores para SSLv3, la siguiente información debería ayudar (tomado de la Alerta McAfee Scan):
En Internet Explorer 7, el valor predeterminado HTTPS configuración del protocolo se cambian a deshabilite el protocolo SSLv2 más débil y para habilitar el protocolo TLSv1 más fuerte. De manera predeterminada, los usuarios de IE7 solo negociarán las conexiones HTTPS utilizando SSLv3 o TLSv1. Se espera que Mozilla Firefox deje de admitir SSLv2 en sus próximas versiones.
Como casi todos los navegadores modernos soportan SSLv3, deshabilitar el soporte para el método SSL más débil debe tener un mínimo impacto . Los siguientes navegadores son compatibles con SSLv3:
- Internet Explorer 5.5 o superior (PC)
- Internet Explorer 5.0 o superior (Mac)
- Netscape 2.0 (nacional) o superior (PC/Mac)
- Firefox 0.8 o superior (PC/Mac/Linux)
- Mozilla 1.7 o superior (PC/Mac/Linux)
- Camino 0,8 o superior (Mac)
- Safari 1.0 o más alto (Mac)
- Opera 1.7 o superior (PC/Mac)
- Omniweb 3.0 o superior (Mac)
- Konqueror 2.0 o superior (Linux)
Si usted está buscando en la fijación de este es probable que también desee corregir las cifras débiles, ya que la mayoría de los escáneres se quejarán de ambos. Eso es Microsoft KB245030. En general, cualquier navegador que admita SSLv3 también admitirá cifrados más nuevos y más sólidos que los desactivados por los scripts en ese enlace.
Sé que ServerFault no existía en el momento en que se solicitó, pero creo que pertenece allí ahora. –