sslstart 는 중국에 넘어가면서 공신력을 잃었다고 하여, let's encrypt를 신뢰하기로 하였다.

3개월 마다 갱신해야 하지만, 보안적으로 안전하고, 자동 적용 스크립트가 있으므로 IIS 에도 적용해 보았다.

바인딩 할 때, 호스트명과 Default web browser 기본 사용명을 변경한 이유로 그런지는 몰라도, 상기와 같은 에러가 나서 1시간 이상 찾아보았다.

재부팅이나 해보자 하여 시도했더니, 잘 된다.

https 적용 스크립트로 편리하게 적용 가능하니 let's enrypt를 사용해야겠다.

http://donghoon.me/5

https://github.com/Lone-Coder/letsencrypt-win-simple/releases

SSLv3는 최초에 REG에 등록되어 있지 않다.

RC 해시 뿐만 아니라, SSLv3 를 비활성화 시키기 위한 REG를 등록하여 보안성을 강화할 수 있다.

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSCHANNELProtocolsSSL 3.0]

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSCHANNELProtocolsSSL 3.0Client]

"DisabledByDefault"=dword:00000001

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSCHANNELProtocolsSSL 3.0Server]

"Enabled"=dword:00000000

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSCHANNELCiphers]

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSCHANNELCiphersRC4 128/128]

"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSCHANNELCiphersRC4 40/128]

"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSCHANNELCiphersRC4 56/128]

"Enabled"=dword:00000000

ssllabs 에서 확인하면 RC4에 대해 적용 전후를 알 수 있다.

[적용 전]

[적용 후]

추가로 3des 와 DH도 비활성화 하면 A등급이 나온다.(요즘은 ISMS 심사 때 이런 것도 지적하고 다니는 듯 하여 적용해 봤다.)

[HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Control SecurityProviders SCHANNEL Ciphers Triple DES 168]

; Diffie Hellman

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSCHANNELKeyExchangeAlgorithmsDiffie-Hellman]

"Enabled"=dword:00000000