增强SSL安全性
作者:mailstore,更新时间:2020-07-16 15:30:41
大多数操作系统的默认配置允许应用程序在充当SSL客户端或服务器时使用任何受支持的密码和哈希集。尽管这确保了与其他客户端和服务器应用程序的完全兼容性,但由于支持不安全的协议,密码套件和哈希算法,因此不再符合SSL加密通信在隐私和信任方面的期望。
因此,增强SSL的安全性主要包括禁用这些不安全的协议,密码和哈希值,以及确定允许使用Perfect Forward Secrecy密码套件的优先级。
由于MailStore Server依赖于Windows的称为Secure Channel(也称为Schannel)的安全支持提供程序(SSP),因此必须创建或修改许多注册表项才能禁用不安全的协议,密码和哈希。尽管Microsoft的文章“传输层安全性(TLS)注册表设置”详细描述了哪些注册表项会影响安全提供程序设置,但不建议手动更改这些注册表项。调整服务器应用程序的Schannel设置的更安全方法是Nartac Software的IIS Crypto工具。
重要说明:在Windows中修改安全支持提供程序(SSP)的配置可能会影响一般的操作系统功能,例如身份验证服务,远程桌面和管理功能或其他依赖SSP的第三方应用程序。因此,在应用更改后,需要仔细测试所有服务。
推荐设置
通过MailStore Server计算机上的IIS Crypto中的以下设置,可以实现最高的安全性。
| 协议启用 | TLS 1.1 TLS 1.2 |
| 启用密码 | AES 128/128 AES 256/256 |
| 启用哈希 | SHA SHA256 SHA384 SHA512 |
| 启用密钥交换 | 迪菲·赫尔曼 PKCS ECDH |
| SSL密码套件订单 | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384 TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256 TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA |