Windows Server SSL / TLS Configuring secure cipher suites

 Reference:

讓你的 SSL 更安全 – 移除弱 SSL 加密方式 (Cipher)

[研究] 用 IIS Crypto 2.0 關閉 IIS 的 HTTPS (SSL) 某些加密 (Cipher)

非網站 Windows 之 SSL 加密弱點檢測及修補

Configuring secure cipher suites in Windows Server 2019 IIS

Downloading Nmap

HOWTO: Disable weak protocols, cipher suites and hashing algorithms on Web Application Proxies, AD FS Servers and Windows Servers running Azure AD Connect

狀況：

使用弱點掃描軟體檢查主機後，發現有 TLS 1.0, 1.1, 1.2弱點。

如果有開放 Internet 連線，可用 https://www.ssllabs.com/ssltest/ 檢測。

如果是內部，可用 nmap 檢測。指令 nmap -sV --script ssl-enum-ciphers -p 443 192.168.x.x

處理方式：

TLS 1.0, 1.1關掉的影響，必須 IE11 以上才能連上

TLS 1.2部分關掉可能會影響IE11連上，需考慮清楚並做測試

修改 TLS 及 Ciphers 方法：

建議使用 IIS Crypto 來修改，用圖形介面比較方便。修改後必須重開機才會生效。

修改後測試：

用 https://www.ssllabs.com/ssltest/ 測試，請留意瀏覽器相容性部分。Ex: 若關閉 TLS 1.2 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384會造成 W7, W8 的 IE11 無法連到網頁。

用 nmap 測試

(原始設定)

(修改後測試)