しばやん雑記

Azure とメイドさんが大好きなフリーランスのプログラマーのブログ

IIS で SSL 3.0 を無効にする方法

今朝は SSL 3.0 の脆弱性が話題になっていますね。ちなみに私も影響を受けました(死

SSL 3.0に深刻な脆弱性「POODLE」見つかる Googleが対策を説明 - ITmedia ニュース

困らされて悔しいので、SSL 3.0 を IIS で無効化する方法を調べました。相変わらずレジストリ弄らないと変更できないのはどうかと思いつつ試します。

How to disable PCT 1.0, SSL 2.0, SSL 3.0, or TLS 1.0 in Internet Information Services

How to Disable SSL 2.0 and SSL 3.0 in IIS 7

てか、何も考えずに Windows Server に IIS を追加すると、SSL 2.0 が有効になった状態になるのはいい加減にやめた方が良いのではないかと。

折角なので SSL 2.0 と 3.0 の両方を無効にしておきましょう。以下のコマンドを実行するだけです。

reg add "HKLM\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Server" /v Enabled /t REG_DWORD /d 0 /f
reg add "HKLM\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Server" /v Enabled /t REG_DWORD /d 0 /f

これで SSL 2.0 と 3.0 を無効化する設定を追加出来ました。

f:id:shiba-yan:20141015152252p:plain

そしてこの設定を反映させるためにはサーバーを再起動する必要があります。IIS の再起動で反映されないかなと期待しましたが、そんなうまい話はありませんでした。

f:id:shiba-yan:20141015151504p:plain

サーバーの再起動後に、SSL 2.0 / 3.0 のみを有効にした Internet Explorer でアクセス出来ないことを確認出来ました。これでとりあえずは安心ですね。

Azure Web サイトについて

Azure Web サイトでは SSL 2.0 は標準で無効化されていますが、SSL 3.0 はまだ使える状態になっています。

f:id:shiba-yan:20141015150800p:plain

今は SSL 3.0 は有効ですが、数日後にはアップデートが行われて無効になるかもしれないので、何らかの発表が行われるまで待ってみようかなと思います。

SSL 2.0 に関しては後から無効化するキーをレジストリに追加しているようでした。

f:id:shiba-yan:20141015151026p:plain

なので、SSL 2.0 だけを有効にした Internet Explorer だとアクセスが出来ないです。もう標準で SSL 2.0 を無効にする設定を入れてくれた方が良いと思うんですが…。

Azure クラウドサービスについて

Twitter で Azure 界の抱かれたい男 No.1 に聞いたところ、同じような方法で対応可能っぽいです。

やっぱ Web サイトが楽でいいと思います。まる。

追記

Azure 界の抱かれたい男 No.1 がブログに PowerShell DSC を使って仮想マシンで楽する方法を書いてます。

SSL 3.0のPOODLE問題 « ブチザッキ

仮想マシン使ってる人は各自で頑張れ。おわり。