自從上星期的Heartbleed事件, 更多人開始留意網絡加密的安全性。
雖然公司大部份服務器都是Windows,未會有HeartBleed 這類大問題產生。但普片SSL測試網站也包括了上年的NSA加密破解事件中提及的RC4/SSLv2/SSLv3 容易被破解的測試。
在WIKI上找到的資料,3DES、DES、RC2、RC4 基本上可以定議為容易破解的加密算法,而SSLv2, SSLv3 協定基本上也需要停用。所以兩日前開始就對公司的Web Servers 及Mail Servers 再一次lockdown。
今次用了NARTAC SOFTWARE的IIS Crypto 1.4來修改Windows Registry
只要選Best Practices 就設定好 TLS 1.1/1.2開啟、SSLv2或以下關閉、RC4 128bit以下全關閉,以及修改次序以 TLS 1.2 優先 (要REBOOT才生效)
重啟服務器後再用CheckTLS 及SSLLAB網頁工具測試。
但是昨日發生了問題, Mdaemon 寄信到幾個DOMAIN/ISP出現問題 (SSL negotiation failed, error code 0x80090326)
原來設定了Cipher Suite Order令到SMTP 寄出信件到TLS支援的服務器可能遇到 STARTTLS HANDSHAKE 不了。
最後解決方法是Cipher Suite Order 用返DEFAULT,但就令到Overall Raiting 得返A-。
Links