Microsoft IIS - Désactiver SSL 2.0 et SSL 3.0

Dernière mise à jour: 14/01/2016

Pourquoi désactiver SSL v2 et SSL v3?

SSL 2.0 et SSL 3.0 sont des versions obsolètes du protocole SSL, qui ont été remplacées depuis longtemps par leur successeur plus sûr, le protocole Transport Layer Security (TLS). En outre, une faille de sécurité du protocole SSL 3.0 appelée POODLE a été découverte en 2014, qui permet de totalement contourner la sécurité de SSL. C'est pourquoi il est vivement conseillé de désactiver ces protocoles en Microsoft IIS.

Vous trouverez un aperçu des différentes méthodes pour désactiver SSL 2.0 et SSL 3.0 ci-dessous.

Avec IIS Crypto

IIS Crypto est un outil gratuit pour Windows Server 2003, Windows Server 2008 et Windows 2012 qui vous permet de modifier les protocoles et les modes de chiffrage employés par IIS. En plus, l'outil contient un raccourci qui vous permet de configurer votre serveur web en suivant les recommandations de sécurité actuelles en un seul clic.

Kinamo vous conseille d'utiliser IIS Crypto, comme cela vous permet non seulement de désactiver SSL v2 et SSL v3, mais vous garantit également que votre configuration IIS SSL/TLS est entièrement sûre.

Avec le Registry Editor

Copier le code ci-dessous dans un fichier texte et sauvegarder le avec une extension .reg. Double-cliquez le fichier, et confirmer que vous voulez modifier la Registry Windows quand cela vous est demandé.

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Server]
"Enabled"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Server]
"Enabled"=dword:00000000

Redémarrez votre Windows Server pour terminer.

Avec Windows PowerShell

Exécutez le script Windows PowerShell suivant à la ligne, ou dans le System Center Configuration Manager (SCCM). Redémarrez votre Windows Server ensuite.

$regPath1 = 'HKLM:SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 2.0'
$regPath2 = 'HKLM:SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 2.0\Server'
$regPath3 = 'HKLM:SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 3.0'
$regPath4 = 'HKLM:SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 3.0\Server'

If(!(Test-Path -Path $regPath1))
{
New-Item -Path $regPath1 -Force
}

If(!(Test-Path $regPath2))
{
New-Item -Path $regPath2 -Force
}
New-ItemProperty -Path $regPath2 -Name DisabledByDefault -PropertyType DWORD -Value "1" -Force
New-ItemProperty -Path $regPath2 -Name Enabled -PropertyType DWORD -Value "0" -Force

If(!(Test-Path $regPath3))
{
New-Item -Path $regPath3 -Force
}
If(!(Test-Path $regPath4))
{
New-Item -Path $regPath4 -Force
}
New-ItemProperty -Path $regPath4 -Name DisabledByDefault -PropertyType DWORD -Value "1" -Force
New-ItemProperty -Path $regPath4 -Name Enabled -PropertyType DWORD -Value "0" -Force