Защита Windows от уязвимости в SSL v3 | Windows для системных администраторов

Защита Windows от уязвимости в SSL v3 | Windows для системных администраторов Сертификаты
На чтение 6 мин. Просмотров 3 Опубликовано
Содержание
  1. Startssl или как избавиться от самоподписанных сертификатов
  2. Включаем tls 1.1 и tls 1.2 в windows server 2008 r2  и выше
  3. Как удалить корневой сертификат с iphone или ipad
  4. Как удалить корневой сертификат с устройства android
  5. Отключаем sslv2 (windows 2008 / server и ниже)
  6. Отключаем sslv3 в windows на уровне системы
  7. Удаление корневого сертификата в mozilla
  8. Удаление корня на apple
  9. Удаление сертификата из windows 7
  10. Утилита для управления системными криптографическими протоколами в windows server

Startssl или как избавиться от самоподписанных сертификатов

Мне по долгу работы пришлось предостаточно навозиться с самоподписанными SSL-сертификатами: это и разные панели управления, и почта, и серверы приложений. Вообще всего и не вспомнить, в большинстве случаев можно легко обойтись самоподписанными сертификатами, но даже в этих случаях напрягает постоянно импортировать их в браузер(иногда это нетривиально, как например в гугл хром) или почтовый клиент(как Mail App), а если говорить о почте например так там вообще полная засада, если у Вас много пользователей то некоторый процент обязательно позвонит к вам что бы сообщить что у них ошибка «что-то про сертификат». Конечно можно научить юзеров импортировать их, но на много приятней когда вообще ничего выше описанного не происходит. С другой стороны покупать сертификат не дешевое удовольствие, как минимум 15 баксов если поискать, это всегда меня останавливало, так как критичной необходимости в подписанном сертификате вроде бы и нет, и отдавать свои кровные не хочется. Так я вот жил на самоподписанных сертификатах с незапамятных времен.

Совсем вот недавно я наткнулся на сервис https://startssl.com. Вкратце, сервис позволяет получить валидный SSL-сертификат абсолютно бесплатно, такой сертификат распознается браузерами, почтовыми клиентами и даже мобильными устройствами(лично не проверял).
image
Как я уже сказал, выпускать сертификаты можно абсолютно бесплатно, но действуют некоторые ограничения, к примеру такие сертификаты нельзя использовать для финансовых операций и e-commerce. Также отзыв сертификата будет стоить вам денег. Нельзя создавать wildcard сертификаты а также сертификаты валидные для нескольких доменов/субдоменов.
В тоже время доступны и платные услуги, после уплаты некоторой суммы($49) и прохождения проверки личности, эти ограничения будут сняты(кроме оплаты отзыва сертификата), и Вы все еще сможете получать сертификаты бесплатно, и в них уже будут указанные ваши данные.

Про сертификаты:  СГР и сертификат на герметик полиуретановый

Как пользоваться их вебсайтом рассказывать я не буду, так как, там все достаточно просто.

Добавлю только что установка сертификатов иногда не тривиальна, но она того стоит.

Если кому надо помощь с установкой в postfix,dovecot буду рад помочь, пишите в личку.

Описание установки сертификатов в Apache и IIS есть у них на сайте.

Удачного перехода!

Включаем tls 1.1 и tls 1.2 в windows server 2008 r2  и выше

Windows Server 2008 R2 / Windows 7 и выше поддерживают алгоритмы шифрования TLS 1.1 и TLS 1.2, но по-умолчанию эти протоколы отключены. Включить поддержку TLS 1.1 и TLS 1.2 в этих версиях Windows можно по схожему сценарию

  1. В редакторе реестра откройте ветку HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSCHANNELProtocols
  2. Создайте два раздела TLS 1.1 и TLS 1.2
  3. Внутри каждого раздела создайте по подразделу с именами Client и Server
  4. В каждом из разделов Client и Server создайте по ключу типа DWORD:
    • DisabledByDefault со значением 0
    • Enabled со значением 1
  5. После внесенных изменений сервер следует перезагрузить.Включить TLS 1.1 и TLS 1.2 в Windows 2021 R2

Как удалить корневой сертификат с iphone или ipad

Мобильные устройства вытеснили настольные компьютеры и стали основным способом работы в Интернете. Это означает, что теперь у вашего телефона есть задача связывания сертификатов и проверки цепочки доверия. Таким образом, вам может потребоваться время от времени управлять корневыми сертификатами на своем мобильном устройстве. Вот как это сделать на iPhone (в том числе и на iPad).

1) Откройте «Настройки» на главном экране и выберите «Общие».2) Выберите профиль (если профилей нет, удалять нечего).3) Далее Удалить.4) Введите код доступа (если будет предложено).5) Еще раз нажмите Удалить для подтверждения.

Как удалить корневой сертификат с устройства android


Наконец, Android. У телефонов Android есть собственное хранилище доверенных сертификатов, которым нужно управлять, как и любым другим. Вот как это сделать.

Про сертификаты:  Как поступить в Гарвард, требования для поступления в Harvard University | Smapse

1) Откройте настройки, выберите Безопасность.2) Выберите Надежные учетные данные.3) Выберите сертификат, который хотите удалить.4) Нажмите Отключить.

Надеемся, это поможет вам, если у вас есть какие-либо вопросы, оставляйте их в разделе комментариев, и мы будем рады ответить!

Отключаем sslv2 (windows 2008 / server и ниже)

В ОС, предшествующих Windows 7 / Windows Server 2008 R2  по-умолчанию используется еще менее безопасный и устаревший протокол SSL v2, который также следует отключить из соображений безопасности (в более свежих версиях Windows, SSLv2 на уровне клиента отключен по умолчанию и используется только SSLv3 и TLS1.0). Для отключения SSLv2 нужно повторить описанную выше процедуру, только для раздела реестра SSL 2.0.

В Windows 2008 / 2021 SSLv2 на уровне клиента отключен по умолчанию.

Отключаем sslv3 в windows на уровне системы

В ОС Windows управление поддержкой протоколов SSL/TLS осуществляется через реестр.

Совет. Перед выполнением указанных изменений рекомендуем создать резервную копию указанной ветки с помощью функции редактора реестра Экспорт.

В этом примере мы покажем, как полностью на уровне системы (как на уровне клиента, так и сервера) отключить SSLv3 в Windows Server 2021 R2:

  1. Откройте редактор реестра (regedit.exe) с правами администратора
  2. Перейдите в ветку HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSchannelProtocolsНастройка протоколов шифрования через реестра Windows Server 2021 R2
  3. Создайте новый раздел с именем SSL 3.0 ( New-> Key)Раздел с настройками SSL v3
  4. В созданном разделеSSL 3.0 создайте еще два  подраздела с именами Client и Server.
  5. Затем в разделе Client создайте новый параметр типа DWORD (32-bit) с именем DisabledByDefault
  6. В качестве значения ключа DisabledByDefault укажем 1.Отключить SSL 3 в Windows
  7. Затем в ветке Server создайте новый параметр типа DWORD (32-bit)  с именем Enabled и значением 0. Отключить SSL версии 3 на уровне сервера
  8. Для вступления изменений в силу необходимо перезагрузить сервер

Удаление корневого сертификата в mozilla

В отличие от Google Chrome, браузер Mozilla Firefox использует собственное хранилище доверенных сертификатов, которое поддерживается отдельными лицами в организации Mozilla. Чтобы удалить корень, вам нужно будет получить доступ к хранилищу доверенных сертификатов через браузер.

Про сертификаты:  Wifi сертификаты для андроид - IT Журнал

1) Щелкните меню Firefox и выберите Параметры.2) Выберите «Дополнительно», а затем щелкните тег «Сертификаты».3)Щелкните Просмотр сертификатов.4) Выберите вкладку «Авторитеты», найдите корневой сертификат, который вы хотите удалить, затем нажмите кнопку «Удалить или не доверять».5) В следующем поле убедитесь, что выбран правильный корневой сертификат, а затем нажмите OK.

Удаление корня на apple

Чтобы удалить корневой сертификат на компьютере от Apple, как и в Windows, вам потребуется доступ администратора, для доступа к своему хранилищу сертификатов. Опять же, будьте осторожны.

1) Выбрав Finder, нажмите Go и выберите Utilities (или нажмите Shift Command U).2) Кликните дважды KeyChain Access, выберите System Roots.3) необходимо найти корневой сертификато который хотите удалить и дважды кликните по нему.4) В всплывающем окне в разделе «Доверять» выберите «При использовании этого сертификата» и выберите «Никогда не доверять».

Удаление сертификата из windows 7


Недавно нас спросили, как удалить корневой сертификат в Windows 7.

1) Так же в «Пуск», затем введите «MMC» в поле «Выполнить». Это запустит консоль управления Microsoft.2) Выберите “Файл”, затем “Добавить / удалить оснастку”.3) Щелкните заголовок Сертификаты в дереве консоли, который содержит корневой сертификат, который нужно удалить.4) Необходимо выбрать сертификат, который хотите удалить.5) В меню «Действие» нажмите «Удалить».6) Кликните Да.

Утилита для управления системными криптографическими протоколами в windows server

Существует бесплатная утилита IIS Crypto, позволяющая удобно управлять  параметрами криптографических протоколов в Windows Server 2003, 2008 и  2021. С помощью данной утилиты включить или отключить любой из протоколов шифрования можно всего в два клика.

В программе уже есть несколько шаблонов, позволяющие быстро применить предустановки для различных вариантов настроек безопасности.

apache dovecot postfix ssl startssl TLS
Оцените статью
Мой сертификат
Добавить комментарий

© 2025 Мой сертификат