別急著關掉 TLS 1.2:升級 TLS 1.3 前該懂的 Windows 相容性真相
資安弱掃跑完,報告上一條紅字:偵測到過時的 SSL/TLS 協定。很多人看到就把 TLS 1.0、1.1、1.2 全關掉,只留 TLS 1.3——想說版本越新越安全。 問題就出在這:弱掃從來沒叫你關 TLS 1.2。把 1.2 一起關掉、只留 1.3,在 Windows 伺服器環境幾乎一定出事——網站連不上、SQL Server 連不上、舊的內部系統全掛。下面拆解為什麼,以及正確的做法。 先搞清楚:弱掃到底要你關什麼弱掃報告寫「過時的 SSL/TLS 協定」,指的幾乎都是 SSL 2.0/3.0 和 TLS 1.0、1.1。這幾個有已知的結構性弱點(POODLE、BEAST 那一掛),該關。 TLS 1.2 不在這個清單裡。它到現在仍然安全、主流、被廣泛支援。常見的合規型弱掃通常不會要你停用 TLS 1.2。 法規這邊也說得很清楚。PCI DSS 4.0 的要求是「TLS 1.2 或更高」,把 SSL 和 early TLS(1.0/1.1)列為不合規。它從來沒要求你用 TLS 1.3——TLS 1.2 完全合規。所以「只留 TLS 1.3」這種建議,不是弱掃的要求,是誤讀。 為...
IISCrypto - 資安弱掃的救星!一鍵搞定 TLS 設定
前言做資安弱點掃描,最常踩到的地雷之一就是 SSL/TLS 設定。掃描報告跳出一堆「Server supports TLS 1.0」、「Weak cipher suite detected」,修法不外乎就是去翻 Windows 登錄檔——路徑又長,改錯一個值可能把整台伺服器的 HTTPS 搞壞。 IISCrypto 是 Nartac Software 做的免費工具,把這些作業全包進圖形介面,幾分鐘內就能把 TLS 設定從滿江紅改成合規狀態。 什麼是 IISCrypto?IISCrypto 是 Windows 伺服器上的 SSL/TLS 設定管理工具。它底層還是在改 Windows 登錄檔,但省掉你自己找路徑、手動調值的過程。主要能操控三件事:啟用或停用哪些加密協定、調整加密套件(cipher suite)的優先順序、設定簽章演算法的選項。 系統需求:Windows Server 2012 或以上、本機管理員權限、.NET Framework 4.6.2 或以上。 為什麼用它?PCI DSS 合規需求PCI DSS v4.0 要求停用 SSL 和 early TLS(也就是 TLS...
防駭客必學!一次搞懂 IIS HSTS 設定,告別 HTTPS 降級攻擊
你的網站已經設定 HTTPS 了嗎?光設定 HTTPS 還不夠——本文拆解 HSTS 的運作原理,並示範在 IIS 上的兩種設定方式。 問題發現:弱點掃描警告最近在進行專案的弱點掃描時,發現了一個低風險的問題: 弱點說明提到:應用程式未設定 HTTP Strict Transport Security (HSTS) 標頭。這可能讓攻擊者有機會進行 HTTPS 降級攻擊,竊取敏感資訊。 什麼是 HSTS?為什麼這麼重要?HSTS 全名是 HTTP Strict Transport Security,定義於 RFC 6797,是一個 HTTP 擴充標準。它的主要功能是: 強制瀏覽器使用 HTTPS 與網站進行通訊 有效防禦 SSL 剝離攻擊 保護使用者的敏感資訊 避免憑證警告被忽略 HSTS 運作原理讓我們看看 HSTS 是如何運作的: 使用者第一次存取網站 伺服器在回應中加入 HSTS 標頭 瀏覽器記住這個安全設定 之後瀏覽器在發出請求前,會於本機直接將 HTTP 升級為 HTTPS(307 Internal Redirect),不會先送出不安全的請求 有效防止中間人攻擊 ...




