Activar TLS 1.2 y desactivar SSL2 en IIS

por | Mayo 22, 2014

Actualmente en mi empresa estamos potenciando las aplicaciones SaaS y para mejorar la seguridad e imagen frente al cliente tenia que aumentar la seguridad de los servidores Windows para que aceptarán mas protocolos de seguridad para las páginas web que tenemos alojadas en los IIS.

En la página web https://www.ssllabs.com/ssltest/ podemos comprobar la puntuación que nos da según la seguridad de nuestro certificado SSL y la configuración del servidor.

En esta página, si tenemos un servidor Windows 2008 R2 con el IIS, nos dará una puntuación de F, la peor…

En la propia página nos indica que protocolos es necesario activar para poder subir la nota.

Después de buscar mucho en Internet y realizar varias pruebas esta es la configuración que se le ha de indicar a Windows para que se activen los protocolos necesarias para que podamos obtener una “A-” en las pruebas SSL.

  1. Abrimos el registro de windows
    Ejecutamos regedit en la ventana ejecutar.
  2. Abrimos el arbol de registro 

    como se ve en la imagen siguiente
    Imagen 20140520_112451

  3. Si las claves que vemos en la imagen no existen se han de crear. Recordad que el Registro de Windows distinge entre Mayusculas y Minusculas
  4. Dentro de Client y Server de las claves TLS 1.1 y TLS 1.2 se han de añadir dos valores DWORD de 32bits como se indica a continuación, desactivando el Disable y forzando la activación.
    Imagen 20140520_112525
  5. Dentro de Client y Server de las claves SSL 2 se han de añadir dos valores DWORD de 32 bits como se indica a continuación, Activando el Disabled y forzando que no se active.
    Imagen 20140520_112511
  6. Después de realizar estos cambios se ha de reiniciar el ordenador para que tengan efecto.

Ahora ya podéis volver a pasar el test de SSL y veréis como vuestra puntuación ha pasado a ser un A- en 2008 R2 o “A” si es un Windows 2012 R2.

Si queréis hacerlo mas rápido aquí debajo os dejo el código que podéis pegar un un bloc de notas y luego cambiar la extensión a .reg para que os genere los valores y claves de forma automática.

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0]
"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Client]
"DisabledByDefault"=dword:00000001
"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Server]
"DisabledByDefault"=dword:00000001
"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Client]
"DisabledByDefault"=dword:00000000
"Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Server]
"DisabledByDefault"=dword:00000000
"Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
"DisabledByDefault"=dword:00000000
"Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server]
"DisabledByDefault"=dword:00000000
"Enabled"=dword:00000001

Espero que os sirva de ayuda.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *