我在 .NET 中编写了一个 Web 服务器,它通过使用 .NET 支持 HTTPS SslStream。
不幸的是,ssllabs.com 输出以下关于我的实现的消息:
该服务器容易受到 MITM 攻击,因为它支持不安全的重新协商。
这链接到有关该漏洞的有趣博客条目。
如何在 .NET 中禁用重新协商SslStream?
问问题
4946 次
2 回答
4
SslStream 在后台使用 SChannel.dll。您可以通过修改注册表来配置可用的算法:
http://support.microsoft.com/kb/245030
特别是,以下屏幕截图中突出显示的两个条目将禁止 TLS 重新协商:
它们被称为AllowInsecureRenegoClients和AllowInsecureRenegoServers,都是 DWORD 值,都设置为 0,并且位于HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL.
显然,您可以安装一个修补程序来禁用不安全的 TLS/SSL 重新协商(仅适用于 Windows XP/Windows2003 服务器):
于 2013-08-29T18:54:48.290 回答
1
对于 window2012,它不适用于“AllowInsecureRenegoClients”,并且“AllowInsecureRenegoServers”设置为 0。
我已将 AllowInsecureRenegoClients" 更改为 0,将 "DisableRenegoOnServer" 更改为 1,并且正在为我工作。
于 2015-10-07T09:54:47.303 回答