IIS Sunucu Üzerinde Eski SSL Versiyonları Kullanımı

SSL 3.0 öncesi SSL protokollerinin yayınlanmış açıkları var; dolayısıyla bu versiyonların kullanılması bir güvenlik açığı.
Internet gezgininin uygulamayı 3.0 veya üstü bir versiyonda açmış olması, daha alt versiyonların kapalı olduğu anlamına gelmiyor. Sunucunun SSL 2.0 bağlantıya izin verip vermediğini Linux işletim sistemli bir makine üzerinden şu komut ile test edebiliriz (Windows işletim sistemli makineler için de openssl mevcut, indirip yüklemek gerekiyor. Denemedim):
     # openssl s_client -connect <Target_IP>:<Port> -ssl2

SSL 2.0 ile bağlanılması iznini IIS sunucu üzerinden şu şekilde kaldırabiliriz:

1. Click Start, click Run, type regedt32 or type regedit, and then click OK.
2. In Registry Editor, locate the following registry key:
   
   HKey_Local_Machine\System\CurrentControlSet\Control\SecurityProviders \SCHANNEL\Protocols\SSL 2.0\Server
3. On the Edit menu, click Add Value.
4. In the Data Type list, click DWORD.
5. In the Value Name box, type Enabled, and then click OK. 
   
   Note If this value is present, double-click the value to edit its current value.
6. Type 00000000 in Binary Editor to set the value of the new key equal to "0".
7. Click OK. Restart the computer.

Windows Server 2008 registery'si üzerinde menüler yukarıda anlatıldığından biraz farklı ama neticede yapılması gereken işlem budur.