Security

Windows Sunucularda TLS 1.0 ve TLS 1.1 Devre Dışı Bırakma

Windows Sunucularda TLS 1.0 ve TLS 1.1 Devre Dışı Bırakma 2

 

Translate This Page:

Select your language:  English EN French FR German DE Portuguese PT Russian RU Turkish TR

Bu makalede web yayını yaptığımız platformlarımızın ssl ve tls güvenlik seviyesini kontrol etmemize yarayarak bir skorlama yapan  https://www.ssllabs.com/ssltest adresinin genel olarak verdiği SSL/TLS uyarılarını nasıl gidereceğimizi göreceğiz ve kısaca Windows Sunucularda TLS 1.0 ve TLS 1.1 Devre Dışı Bırakma adımlarını inceliyor olacağız.  Ben test amaçlı yayınladığım https://test.sistemcheck.com adresi üzerinde bu kontrolleri yapıyor olacağım. Aşağıdaki çıktıda görüleceği üzere sistem bana RC4 protokolü ve TLS1.0 – TLS1.1 protokollerini detaylarına girdiğinizde disable etmem gerektiğini söylüyor.


Windows Sunucularda TLS 1.0 ve TLS 1.1 Devre Dışı Bırakma 3

Aşağıdaki bölüme indiğinizde bu bölümlerin sarı olduğunu görebilirsiniz Web sunucumuzda yapmamız gereken işlem TLS 1.1 ve TLS 1.0 ı disable ederek bu alanları No yapmak.

Windows Sunucularda TLS 1.0 ve TLS 1.1 Devre Dışı Bırakma 4

SSL Güvenliği için Registry configurasyonu

Aşağıda kod bölümünde vermiş olduğum kayıtları bir “security_enable.txt” adında bir notepad e kayıt edin ve sonundaki .txt uzantısını silerek uzantıyı .reg yapın dosyamızın adı security_enable.reg olacak.

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
"Enabled"=dword:00000001
"DisabledByDefault"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server]
"Enabled"=dword:00000001
"DisabledByDefault"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Client]
"Enabled"=dword:00000000
"DisabledByDefault"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Server]
"Enabled"=dword:00000000
"DisabledByDefault"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Client]
"Enabled"=dword:00000000
"DisabledByDefault"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server]
"Enabled"=dword:00000000
"DisabledByDefault"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Server]
"DisabledByDefault"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Server]
"DisabledByDefault"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\KeyExchangeAlgorithms\Diffie-Hellman]
"ServerMinKeyBitLength"=dword:00000800

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 128/128]
"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 40/128]
"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 56/128]
"Enabled"=dword:00000000

security_enable.reg dosyamızı çalıştırdığımızda yukarıdaki tüm kayıtlar register ye otomatik olarak eklenecek ve aşağıdaki gibi eklendiğini görebilirsiniz.

Başlat–>Çalıştır yolunu izleyerek regedit’i açıyoruz.

Windows Sunucularda TLS 1.0 ve TLS 1.1 Devre Dışı Bırakma 5

Regedit kayıtlarına baktığınızda aşağıdaki değişikliğin olduğunu görebilirsiniz

Windows Sunucularda TLS 1.0 ve TLS 1.1 Devre Dışı Bırakma 6

Bu işlemden sonra yapılan değişikliğin geçerli olması için Makinemizi Restart etmemiz gerekiyor. Makinemiz Restart olduktan sonra  https://www.ssllabs.com/ssltest adresine giderek tekrar bir test başlatıyorum ve aşağıda gördüğünüz gibi Score umun B den A ya yükseldiğini

 

Windows Sunucularda TLS 1.0 ve TLS 1.1 Devre Dışı Bırakma 7

TLS 1.0 ve TLS 1.1 protokollerinin devre dışı bırakıldığını görebilirsiniz.

Windows Sunucularda TLS 1.0 ve TLS 1.1 Devre Dışı Bırakma 8

Yaptığınız Regedit değişikliğini geri almak isterseniz  aşağıdaki kayıtları çalıştırıp makinenizi restart etmeniz yeterli olacaktır.

Windows Registry Editor Version 5.00

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0]

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\KeyExchangeAlgorithms\Diffie-Hellman]
"ServerMinKeyBitLength"=dword:00000800

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 128/128]
"Enabled"=dword:00000000

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 40/128]
"Enabled"=dword:00000000

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 56/128]
"Enabled"=dword:00000000

 

Serdar Bayram

Bu yazı blog üzerinde Serdar Bayram tarafından hazırlanıp paylaşılmıştır. 2009 yılında açılan blogum kısa zaman içerisinde paylasımları ile dikkat cekip büyük bir izleyici kitlesine sahip olmuştur.

2 Yorum

  1. Merhaba,

    Yanlışlıkla mı oldu yoksa bilinçli mi eklemediniz ama Remove dosyasında SSL2.0 reg kaydı yok. Kontrol edebilir misiniz.

    1. Merhaba ,

      SSL 2.0 default kurulumda zaten disable gelmektedir bu yüzden eklenmesi gerekmiyor.

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Başa dön tuşu