Защита Windows от уязвимости в SSL v3 | Windows для системных администраторов

На чтение 6 мин. Опубликовано
Содержание
  1. Startssl или как избавиться от самоподписанных сертификатов
  2. Включаем tls 1.1 и tls 1.2 в windows server 2008 r2  и выше
  3. Как удалить корневой сертификат с iphone или ipad
  4. Как удалить корневой сертификат с устройства android
  5. Отключаем sslv2 (windows 2008 / server и ниже)
  6. Отключаем sslv3 в windows на уровне системы
  7. Удаление корневого сертификата в mozilla
  8. Удаление корня на apple
  9. Удаление сертификата из windows 7
  10. Утилита для управления системными криптографическими протоколами в windows server

Startssl или как избавиться от самоподписанных сертификатов

Мне по долгу работы пришлось предостаточно навозиться с самоподписанными SSL-сертификатами: это и разные панели управления, и почта, и серверы приложений. Вообще всего и не вспомнить, в большинстве случаев можно легко обойтись самоподписанными сертификатами, но даже в этих случаях напрягает постоянно импортировать их в браузер(иногда это нетривиально, как например в гугл хром) или почтовый клиент(как Mail App), а если говорить о почте например так там вообще полная засада, если у Вас много пользователей то некоторый процент обязательно позвонит к вам что бы сообщить что у них ошибка «что-то про сертификат». Конечно можно научить юзеров импортировать их, но на много приятней когда вообще ничего выше описанного не происходит. С другой стороны покупать сертификат не дешевое удовольствие, как минимум 15 баксов если поискать, это всегда меня останавливало, так как критичной необходимости в подписанном сертификате вроде бы и нет, и отдавать свои кровные не хочется. Так я вот жил на самоподписанных сертификатах с незапамятных времен.

Совсем вот недавно я наткнулся на сервис https://startssl.com. Вкратце, сервис позволяет получить валидный SSL-сертификат абсолютно бесплатно, такой сертификат распознается браузерами, почтовыми клиентами и даже мобильными устройствами(лично не проверял).
image
Как я уже сказал, выпускать сертификаты можно абсолютно бесплатно, но действуют некоторые ограничения, к примеру такие сертификаты нельзя использовать для финансовых операций и e-commerce. Также отзыв сертификата будет стоить вам денег. Нельзя создавать wildcard сертификаты а также сертификаты валидные для нескольких доменов/субдоменов.
В тоже время доступны и платные услуги, после уплаты некоторой суммы($49) и прохождения проверки личности, эти ограничения будут сняты(кроме оплаты отзыва сертификата), и Вы все еще сможете получать сертификаты бесплатно, и в них уже будут указанные ваши данные.

Про сертификаты:  Складной нож Harnds CK9168 Talisman AUS-8

Как пользоваться их вебсайтом рассказывать я не буду, так как, там все достаточно просто.

Добавлю только что установка сертификатов иногда не тривиальна, но она того стоит.

Если кому надо помощь с установкой в postfix,dovecot буду рад помочь, пишите в личку.

Описание установки сертификатов в Apache и IIS есть у них на сайте.

Удачного перехода!

Включаем tls 1.1 и tls 1.2 в windows server 2008 r2  и выше

Windows Server 2008 R2 / Windows 7 и выше поддерживают алгоритмы шифрования TLS 1.1 и TLS 1.2, но по-умолчанию эти протоколы отключены. Включить поддержку TLS 1.1 и TLS 1.2 в этих версиях Windows можно по схожему сценарию

  1. В редакторе реестра откройте ветку HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSCHANNELProtocols
  2. Создайте два раздела TLS 1.1 и TLS 1.2
  3. Внутри каждого раздела создайте по подразделу с именами Client и Server
  4. В каждом из разделов Client и Server создайте по ключу типа DWORD:
    • DisabledByDefault со значением 0
    • Enabled со значением 1
  5. После внесенных изменений сервер следует перезагрузить.Включить TLS 1.1 и TLS 1.2 в Windows 2021 R2

Как удалить корневой сертификат с iphone или ipad

Мобильные устройства вытеснили настольные компьютеры и стали основным способом работы в Интернете. Это означает, что теперь у вашего телефона есть задача связывания сертификатов и проверки цепочки доверия. Таким образом, вам может потребоваться время от времени управлять корневыми сертификатами на своем мобильном устройстве. Вот как это сделать на iPhone (в том числе и на iPad).

1) Откройте «Настройки» на главном экране и выберите «Общие».2) Выберите профиль (если профилей нет, удалять нечего).3) Далее Удалить.4) Введите код доступа (если будет предложено).5) Еще раз нажмите Удалить для подтверждения.

Как удалить корневой сертификат с устройства android


Наконец, Android. У телефонов Android есть собственное хранилище доверенных сертификатов, которым нужно управлять, как и любым другим. Вот как это сделать.

Про сертификаты:  Шкаф пожарный ШПК 310 ВЗБ для одного рукава (встраиваемый, закрытый, белый)

1) Откройте настройки, выберите Безопасность.2) Выберите Надежные учетные данные.3) Выберите сертификат, который хотите удалить.4) Нажмите Отключить.

Надеемся, это поможет вам, если у вас есть какие-либо вопросы, оставляйте их в разделе комментариев, и мы будем рады ответить!

Отключаем sslv2 (windows 2008 / server и ниже)

В ОС, предшествующих Windows 7 / Windows Server 2008 R2  по-умолчанию используется еще менее безопасный и устаревший протокол SSL v2, который также следует отключить из соображений безопасности (в более свежих версиях Windows, SSLv2 на уровне клиента отключен по умолчанию и используется только SSLv3 и TLS1.0). Для отключения SSLv2 нужно повторить описанную выше процедуру, только для раздела реестра SSL 2.0.

В Windows 2008 / 2021 SSLv2 на уровне клиента отключен по умолчанию.

Отключаем sslv3 в windows на уровне системы

В ОС Windows управление поддержкой протоколов SSL/TLS осуществляется через реестр.

Совет. Перед выполнением указанных изменений рекомендуем создать резервную копию указанной ветки с помощью функции редактора реестра Экспорт.

В этом примере мы покажем, как полностью на уровне системы (как на уровне клиента, так и сервера) отключить SSLv3 в Windows Server 2021 R2:

  1. Откройте редактор реестра (regedit.exe) с правами администратора
  2. Перейдите в ветку HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSchannelProtocolsНастройка протоколов шифрования через реестра Windows Server 2021 R2
  3. Создайте новый раздел с именем SSL 3.0 ( New-> Key)Раздел с настройками SSL v3
  4. В созданном разделеSSL 3.0 создайте еще два  подраздела с именами Client и Server.
  5. Затем в разделе Client создайте новый параметр типа DWORD (32-bit) с именем DisabledByDefault
  6. В качестве значения ключа DisabledByDefault укажем 1.Отключить SSL 3 в Windows
  7. Затем в ветке Server создайте новый параметр типа DWORD (32-bit)  с именем Enabled и значением 0. Отключить SSL версии 3 на уровне сервера
  8. Для вступления изменений в силу необходимо перезагрузить сервер

Удаление корневого сертификата в mozilla

В отличие от Google Chrome, браузер Mozilla Firefox использует собственное хранилище доверенных сертификатов, которое поддерживается отдельными лицами в организации Mozilla. Чтобы удалить корень, вам нужно будет получить доступ к хранилищу доверенных сертификатов через браузер.

Про сертификаты:  Хранилище сертификатов Windows 10: где находятся и как открыть, 4 способа просмотра

1) Щелкните меню Firefox и выберите Параметры.2) Выберите «Дополнительно», а затем щелкните тег «Сертификаты».3)Щелкните Просмотр сертификатов.4) Выберите вкладку «Авторитеты», найдите корневой сертификат, который вы хотите удалить, затем нажмите кнопку «Удалить или не доверять».5) В следующем поле убедитесь, что выбран правильный корневой сертификат, а затем нажмите OK.

Удаление корня на apple

Чтобы удалить корневой сертификат на компьютере от Apple, как и в Windows, вам потребуется доступ администратора, для доступа к своему хранилищу сертификатов. Опять же, будьте осторожны.

1) Выбрав Finder, нажмите Go и выберите Utilities (или нажмите Shift Command U).2) Кликните дважды KeyChain Access, выберите System Roots.3) необходимо найти корневой сертификато который хотите удалить и дважды кликните по нему.4) В всплывающем окне в разделе «Доверять» выберите «При использовании этого сертификата» и выберите «Никогда не доверять».

Удаление сертификата из windows 7


Недавно нас спросили, как удалить корневой сертификат в Windows 7.

1) Так же в «Пуск», затем введите «MMC» в поле «Выполнить». Это запустит консоль управления Microsoft.2) Выберите “Файл”, затем “Добавить / удалить оснастку”.3) Щелкните заголовок Сертификаты в дереве консоли, который содержит корневой сертификат, который нужно удалить.4) Необходимо выбрать сертификат, который хотите удалить.5) В меню «Действие» нажмите «Удалить».6) Кликните Да.

Утилита для управления системными криптографическими протоколами в windows server

Существует бесплатная утилита IIS Crypto, позволяющая удобно управлять  параметрами криптографических протоколов в Windows Server 2003, 2008 и  2021. С помощью данной утилиты включить или отключить любой из протоколов шифрования можно всего в два клика.

В программе уже есть несколько шаблонов, позволяющие быстро применить предустановки для различных вариантов настроек безопасности.

apache dovecot postfix ssl startssl TLS
Оцените статью
Мой сертификат
Добавить комментарий

© 2024 Мой сертификат