IIS 8.5 : Désactiver le protocole SSL 3.0

I. Présentation

Dans ce tutoriel, nous allons désactiver le protocole SSL 3.0 dans IIS (Internet Information Services), le serveur web applicatif que l’on trouve sur les systèmes d’exploitation Windows.

Pourquoi désactiver le protocole SSL 3.0 ?

Premièrement, ce protocole est obsolète puisque maintenant il faut utiliser son successeur : le protocole TLS. Deuxièmement, la version 3 du protocole SSL a récemment fait l’objet d’une vulnérabilité critique, appelée Poodle.

Pour en savoir plus sur Poodle : Poodle SSLv3

POODLE – Padding Oracle On Downgraded Legacy Encryption – CVE-2014-3566

Pour ma part, je procède sous Windows 8.1 pour la version IIS 8.5.

II. Désactiver SSLv3 IIS

Tout se passe dans le registre. De ce fait, accédez à l’éditeur de registre : regedit.exe. Sous Windows 8/8.1 ou Server 2012/2012 R2, effectuez un clic droit dans le coin en bas à gauche et cliquez sur « Exécuter« . Là, saisissez « regedit » et validez.

Naviguez dans l’éditeur de registre en parcourant l’arborescence comme ceci :

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\

Vous obtiendrez une fenêtre semblable à la mienne :

Vous remarquez la présence d’une clé « SSL 2.0 » sous « Protocols« , il va falloir créer une clé « SSL 3.0 » sous la clé « Protocols« . Pour cela, effectuez un clic droit sur la clé « Protocols » – « Nouveau » – « Clé » – comme ceci :

Après avoir obtenu une clé nommée « SSL 3.0« , créez deux sous-clés : « Client » et « Server« . Effectuez un clic droit sur « SSL 3.0 » – « Nouveau » – « Clé« , indiquez « Client » en nom et recommencez l’opération pour créer une seconde clé nommée « Server« .

L’arborescence est désormais créée, nous allons pouvoir créer les 2 valeurs qui permettent de désactiver SSLv3.

Tout d’abord, dans la clé « Client » créez une nouvelle valeur : clic droit sur « Client« , « Nouveau« , « Valeur DWORD 32 bits« .

Nommez cette valeur « DisabledByDefault » et double cliquez dessus pour changer sa valeur, indiquez « 1 » pour que le SSLv3 soit désactivé par défaut pour les clients.

Maintenant, intéressons-nous à la valeur à créer sous la clé « Server« . Effectuez un clic droit sur « Server« , puis cliquez sur « Nouveau » et « Valeur DWORD 32 bits » (comme pour la valeur précédente).

Nommez cette clé « Enabled« , validez et double cliquez dessus pour changer la valeur. Cette fois-ci, indiquez « 0 » comme valeur pour désactiver SSLv3 sur le serveur.

Les modifications sont désormais terminées, il ne reste plus qu’à redémarrer votre serveur pour rendre effectif les changements effectués.