Hola usuario de nuestro sitio, encontramos la respuesta a lo que buscas, deslízate y la verás un poco más abajo.
Solución:
En IIS 7 (y 7.5), hay dos cosas que hacer:
-
Vaya a: Inicio> ‘gpedit.msc’> Configuración del equipo> Plantillas de administración> Red> Ajustes de configuración SSL> Orden de conjunto de cifrado SSL (en el panel derecho, haga doble clic para abrir). Allí, copie y pegue lo siguiente (las entradas están separadas por una sola coma, asegúrese de que no haya un ajuste de línea):
TLS_RSA_WITH_RC4_128_SHA, TLS_RSA_WITH_RC4_128_MD5, TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P256, TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P384, TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P521, TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P384, TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P521, TLS_RSA_WITH_AES_128_CBC_SHA256, TLS_RSA_WITH_AES_256_CBC_SHA256, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P256, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P384, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P521, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P256, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P384, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P521, TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P256, TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P384, TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P521, TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384_P384, TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384_P521, TLS_DHE_DSS_WITH_AES_128_CBC_SHA256, TLS_DHE_DSS_WITH_AES_256_CBC_SHA256, TLS_RSA_WITH_AES_128_CBC_SHA, TLS_RSA_WITH_AES_256_CBC_SHA, TLS_RSA_WITH_3DES_EDE_CBC_SHA, TLS_ECDHE_RSA_WITH _AES_128_CBC_SHA_P256
-
Ejecute los siguientes comandos de PowerShell como administrador (copie y pegue en el Bloc de notas, guárdelos como ‘fix-beast-in-iis.ps1’ y ejecútelos con privilegios elevados):
#make TSL 1.2 protocol reg keys md "HKLM:SYSTEMCurrentControlSetControlSecurityProvidersSCHANNELProtocolsTLS 1.2" md "HKLM:SYSTEMCurrentControlSetControlSecurityProvidersSCHANNELProtocolsTLS 1.2Server" md "HKLM:SYSTEMCurrentControlSetControlSecurityProvidersSCHANNELProtocolsTLS 1.2Client" # Enable TLS 1.2 for client and server SCHANNEL communications new-itemproperty -path "HKLM:SYSTEMCurrentControlSetControlSecurityProvidersSCHANNELProtocolsTLS 1.2Server" -name "Enabled" -value 1 -PropertyType "DWord" new-itemproperty -path "HKLM:SYSTEMCurrentControlSetControlSecurityProvidersSCHANNELProtocolsTLS 1.2Server" -name "DisabledByDefault" -value 0 -PropertyType "DWord" new-itemproperty -path "HKLM:SYSTEMCurrentControlSetControlSecurityProvidersSCHANNELProtocolsTLS 1.2Client" -name "Enabled" -value 1 -PropertyType "DWord" new-itemproperty -path "HKLM:SYSTEMCurrentControlSetControlSecurityProvidersSCHANNELProtocolsTLS 1.2Client" -name "DisabledByDefault" -value 0 -PropertyType "DWord" # Make and Enable TLS 1.1 for client and server SCHANNEL communications md "HKLM:SYSTEMCurrentControlSetControlSecurityProvidersSCHANNELProtocolsTLS 1.1" md "HKLM:SYSTEMCurrentControlSetControlSecurityProvidersSCHANNELProtocolsTLS 1.1Server" md "HKLM:SYSTEMCurrentControlSetControlSecurityProvidersSCHANNELProtocolsTLS 1.1Client" new-itemproperty -path "HKLM:SYSTEMCurrentControlSetControlSecurityProvidersSCHANNELProtocolsTLS 1.1Server" -name "Enabled" -value 1 -PropertyType "DWord" new-itemproperty -path "HKLM:SYSTEMCurrentControlSetControlSecurityProvidersSCHANNELProtocolsTLS 1.1Server" -name "DisabledByDefault" -value 0 -PropertyType "DWord" new-itemproperty -path "HKLM:SYSTEMCurrentControlSetControlSecurityProvidersSCHANNELProtocolsTLS 1.1Client" -name "Enabled" -value 1 -PropertyType "DWord" new-itemproperty -path "HKLM:SYSTEMCurrentControlSetControlSecurityProvidersSCHANNELProtocolsTLS 1.1Client" -name "DisabledByDefault" -value 0 -PropertyType "DWord" # Disable SSL 2.0 (PCI Compliance) md "HKLM:SYSTEMCurrentControlSetControlSecurityProvidersSCHANNELProtocolsSSL 2.0Server" new-itemproperty -path "HKLM:SYSTEMCurrentControlSetControlSecurityProvidersSCHANNELProtocolsSSL 2.0Server" -name Enabled -value 0 -PropertyType "DWord"
Una vez que haya ejecutado el script, puede ejecutar ‘regedit’ y asegurarse de que keys en el script se crearon realmente correctamente. Luego reinicie para que el cambio surta efecto.
ADVERTENCIA: Tenga en cuenta que no desactivé SSL 3.0; la razón de esto se debe al hecho de que, nos guste o no, todavía hay personas que usan Windows XP con IE 6/7. Sin SSL 3.0 habilitado, no habría ningún protocolo al que esas personas pudieran recurrir. Si bien es posible que aún no obtenga un resultado perfecto en un escaneo de Qualys SSL Labs, la mayoría de los agujeros deben cerrarse siguiendo los pasos anteriores. Si desea un cumplimiento absoluto de PCI, puede copiar las líneas de la sección Deshabilitar SSL 2.0 del script de Powershell, pegarlas al final del script y cambiarlas a lo siguiente:
# Disable SSL 3.0 (PCI Compliance)
md "HKLM:SYSTEMCurrentControlSetControlSecurityProvidersSCHANNELProtocolsSSL 3.0Server"
new-itemproperty -path "HKLM:SYSTEMCurrentControlSetControlSecurityProvidersSCHANNELProtocolsSSL 3.0Server" -name Enabled -value 0 -PropertyType "DWord"
Luego, cuando ejecuta el script, deshabilita SSL 2.0, SSL 3.0 y habilita TLS 1.1 y 1.2.
Acabo de publicar una actualización de IIS Crypto, que es una herramienta gratuita que establece el registro de schannel keys y coloca RC4 en la parte superior del orden de la suite de cifrado SSL con un solo clic. Esto mitiga el ataque BEAST en Windows Server 2008 y 2012.
Tan lejos como el real riesgos, parece difícil de decir. Si bien herramientas como SSL Labs informan que esto es de alta prioridad, no tengo conocimiento de ningún ataque real que explote esto en la naturaleza, y desde mi comprensión (muy limitada) de cómo funciona el ataque, es bastante complicado de ejecutar y hay muchos pre -requisitos para convertirlo en una amenaza real. Ya está vinculado a muchos recursos, por lo que no tiene sentido repetir lo que ya está cubierto.
En cuanto a la configuración de IIS 7 para usar RC4, ¿quizás este pdf pueda ayudar?