我检查了一个正在部署的网站(IIS 8、Asp.net-C#、SSL),使用谷歌上建议的sslabs。它表明"该服务器接受RC4密码,这是弱的。"
我该如何防止这种情况发生?该网站托管在web托管环境中,所以我不能直接控制IIS,而且我在IIS管理器中找不到任何相关信息。我能在网站上做点什么吗?其他方式?
如果您有一个共享的托管环境,您可能无法做到这一点,但您可以联系您的托管公司,提供以下信息。
如何完全禁用RC4
不想使用RC4的客户端和服务器另一方支持的密码可以禁用RC4密码套件完全通过设置以下注册表项。通过这种方式与必须使用RC4可以防止发生连接。部署此的客户端设置将无法连接到需要RC4的站点,并且部署此设置的服务器将无法为客户端提供服务必须使用RC4。
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSCHANNELCiphersRC4 128/128]
"Enabled"=dword:00000000
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSCHANNELCiphersRC4 40/128]
"Enabled"=dword:00000000
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSCHANNELCiphersRC4 56/128]
"Enabled"=dword:00000000