Forzar protocolo de cifrado (IIS)

TEORÍA

A veces se desea que solo se emplee un tipo de protocolo o una versión concreta de él para realizar la comunicación a través de HTTPS.

En IIS esto solo se puede lograr a través de la modificación de los registros: existe una clave concreta para cada versión del protocolo y un conjunto de valores que lo «activan/desactivan» para parte cliente y para la parte servidora por separado (es decir, se puede desactivar un protocolo para la parte servidora pero dejarlo habilitado para la parte cliente).

Para ilustrarlo, en el registro tendremos algo como esto:

En realidad, por defecto solo está la clave «SSL 2.0», pero las demás se pueden añadir sin problemas, siendo actualmente las posibles claves:

  • SSL 2.0
  • SSL 3.0
  • TLS 1.0
  • TLS 1.1
  • TLS 1.2

Estos registros de los protocolos se encuentra en

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols

PRÁCTICA

Para forzar que nuestro servidor deshabilite un protocolo concreto, creamos la clave correspondiente al mismo (por ejemplo SSL 2.0) y añadimos la subclave «Server».

Dentro de esta añadimos dos valores DWORD:

  • «DisabledByDefault» = 1
  • «Enabled» = 0

Si también quisiéramos que nuestro SO no use estos protocolos para la comunicación como cliente, añadiríamos la subclave «Client» y añadiríamos los mismos valores. En resumen:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Server] "Enabled"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Server] "DisabledByDefault"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Client] "Enabled"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Client] "DisabledByDefault"=dword:00000001

Por otro lado, si queremos habilitar un protocolo concreto, debemos hacer lo mismo pero con los valores DWORD contrarios a los antes expuestos.

Más información.

NOTA: Es posible que se requiera un reinicio del sistema para que los cambios surtan efecto.

Deja un comentario