Microsoft IIS disabilitare il protocollo SSLv3 per POODLE vulnerability

disablessl3iis01

La POODLE vulnerability è un attacco nel protocollo SSL 3.0 e si tratta di un difetto del protocollo, non di un problema di implementazione. Per ulteriori informazioni leggere l’articolo rilasciato da Google.

Ogni implementazione SSL 3.0 presenta questo problema. Gli esperti in sicurezza raccomandano gli amministratori di sistema di disabilitare SSL 3.0 nei server ed utilizzare TLS 1.1 o 1.2.

 

Verificare l’utilizzo del protocollo SSLv3

Per verificare se i server della rete utilizzano SSL v3, accedere al sito GeoTrust SSL Toolbox e digitare l’URL del server da controllare e cliccare sul bottone Check.

disablessl3iis02

Se il risultato rileva che SSLv3 è abilitato, il server potrebbe essere soggetto alla POODLE vulnerability.

 

Fix manuale

Avviare il tool Regedit come Administrator e posizionarsi nella sezione:

disablessl3iis03

Effettuare un click con il tasto destro del mouse sulla voce Protocols e selezionare l’opzione New > Key.

disablessl3iis04

Assegnare alla nuova chiave il nome SSL 3.0.

disablessl3iis05

Ora effettuare un click con il tasto destro del mouse sulla voce SSL 3.0 e creare una nuova chiave con nome Client.

disablessl3iis06

Ancora, effettuare un click con il tasto destro del mouse sulla voce SSL 3.0 e creare la chiave con nome Server.

disablessl3iis07

Effettuare un click con il tasto destro del mouse sul Client e selezionare l’opzione  New > DWORD (32bit) Value.

disablessl3iis08

Assegnare alla DWORD il nome DisabledByDefault. Effettuare un doppio click sulla DWORD e digitare 1 come Value data quindi cliccare su OK per confermare.

disablessl3iis09

La DWORD con Value Data impostato a 1.

disablessl3iis10

Ripetere la stessa procedura per la voce Server ed assegnare Enabled come nome alla DWORD. Lasciare Value Data con il valore di default impostato a 0.

disablessl3iis11

Riavviare il server per completare  la procedura.

 

Fix veloce

Effettuare il login al server con i permessi di Local Administrator.

Scaricare disable_ssl3.zip ed estrarre il file .reg.

disablessl3iis12

Effettuare un doppio click sul file .reg e cliccare su Yes per confermare.

disablessl3iis13

Il sistema conferma l’aggiunta delle chiavi al Registry.

disablessl3iis14

Le chiavi aggiunte nel Registry.

disablessl3iis15

Per il momento non ci sono patch disponibili poichè il problema è un difetto del protocollo e non dovuto all’implementazione.

firma