作者:gc,主页:www.sysin.org
2. Microsoft IIS
根据规则:TLS 1.2 + HSTS + No Warning + TLS_FALLBACK_SCSV = A+
理论上 Windows & IIS 不支持 TLS_FALLBACK_SCSV,所以无法 A+,但是开启 HSTS,并仅启用 TLS1.2 可以获得 A+ 得分,这样就不存在协议降级风险。
Microsoft 的 SSL 基于 Schannel 实现,与 OpenSSL 无关(或称 Microsoft TLS)。
Schannel is a Security Support Provider (SSP) that implements the Secure Sockets Layer (SSL) and Transport Layer Security (TLS) Internet standard authentication protocols.
The Security Support Provider Interface (SSPI) is an API used by Windows systems to perform security-related functions including authentication. The SSPI functions as a common interface to several SSPs, including the Schannel SSP.
IIS 获得 A 级别
测试环境:Windows 10 on Windows 2019
执行 ps 脚本 或者 IIS Crypto 工具,将获得A
IISCrypto:点击 “Best Pratices”,Server Protocols 只勾选 TLS 1.2,Apply 并重启生效。
仅启用 TLS 1.2 将获得 A,远程桌面也可以正常连接,启用 HSTS 将或者 A+。
在早期的 Windows 版本中,仅启用 TLS 1.2 远程桌面将无法链接。
HSTS
- In older versions of IIS (IIS 7.0 to 10.0 R1703) this requirement can only archived the simple way with an installation of HTTP Strict Transport Security IIS Module.
- Microsoft added native HTTP Strict Transport Security (HSTS) Support to IIS 10.0 Version 1709
IIS 管理器 – 选择站点 – 高级设置 – HSTS
TLSv1.3
IIS 10 & Windows Server 2019 正式版尚未支持,参看
最新的 Windows Insider Preview 已经支持 TLS 1.3,并且通过 MSQUIC 实验性的支持 HTTP/3。
the latest Windows Insider Preview Builds for Schannel’s TLS 1.3 support.
HTTP/2
版本要求:
HTTP2 requires Windows 2016 with IIS 10 or later.
配置方法:
首先配置好 SSL 证书并创建 HTTPS 站点,IIS 10 默认开启 HTTP/2 协议,所以我们都不要额外去设置(可以禁用,新建站点时或者"编辑网站" > "绑定…“勾选"禁用 HTTP/2”)。
