SSL kullanan birçok banka ve alışveriş sitesinde bulunan bu zayıflık (SSL man in the middle) yıllardır bilinmekteydi ve çoğu site bu açığa karşı güvenli hale geldiğine göre biz sitede açık olup olmadığını anlamak için en basit tool'u anlatmalı diye düşünüyorum.

Rar'ı açtıktan sonra açtığınız klasöre dos emülasyonundan giriş yapın, başlat-çalıştır-cmd

Örnek:
Öncelikle antivirus/fw gibi programları kapatalım, daha sonra;

cd "c:\SSL Check 0 1\" klasöre girelim.

THCSSLCheck www.örneksiteniz.com 443 yazarak çalıştıralım.

Ekranda göreceğiniz çıktı, aynı klasör içindeki iyi.txt'teye benziyorsa siteniz nispeten güvenlidir. Çıktı kotu.txt'ye benziyorsa sitenizi IIS (Internet Information Server) sürüm 5.x/6.x için nasıl güvenli hale getireceğiniz SSL Kapatmaca.txt dosyasında ayrıntılı olarak anlatılmıştır. Apache için işlem çok daha kolay, readme.txt dosyasında anlatılmaktadır.

Not1: Yazıya başlarken "güvenli hale geldi" demiştim. Değilmiş...

Not2: IIS güvenli hale getirme dosyasının orijinali cronos mantas tarafından yazılmıştır, anlaşılabilir hale getirilmesi ve ilaveleri cnguru tarafından yazılmıştır.

ssl kapatmaca.txt:
SSL aciklarini registry'den kapatilmasi ile ilgili adimlar:

1) SSLv2 ve PCT1.0'i kapatmak

HKey_Local_Machine\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols
"SSL 2.0"->"Server" secilerek sag taraftaki bolumde bos bir yerde sag tusa tiklayip
"New"->"DWORD" secip "New Value #1" yazan yere "enabled" (default deger "0" olarak kalmali).

Ayni islemi PCT icinde yapiyoruz (PCT v1.0->Server a tiklayip sag bolumde ayni keyi yaratiyoruz)
"PCT 1.0"->"Server" secilerek sag taraftaki bolumde bos bir yerde sag tusa tiklayip
"New"->"DWORD" secip "New Value #1" yazan yere "enabled" (default deger "0" olarak kalmali).

2) Guvensiz cipher'larin kapatilmasi. 5-8 adet (sizin sisteminizde az/fazla olabilir) yerde degisiklik gerekli.

HKey_Local_Machine\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers
"DES 56/56"
"NULL"
"RC2 40/128"
"RC4 40/128"
"RC4 56/128" "enabled" key'lerini yaratiyoruz (default deger 0 olarak kalmali).

3) Yukardaki yontemi uygulayarak dusuk guvenlikli "hash" algoritmalarini kapatabilirsiniz.
HKey_Local_Machine\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Hashes
"MD5" icinde ayni sekilde "enabled" key'ni yaratiyoruz (default deger 0 olarak kalmali).

Registry'de ayarlari yaptiktan sonra;
"http ssl" servisini restart ("world wide web publishing service"i kendisi restart ediyor) etmek yeterli.

Daha detayli bilgi icin:
http://support.microsoft.com/default.aspx?scid=kb;EN-US;245030
Article ID  : 245030
Last Review : November 1, 2006
Revision    : 3.1

Orijinal yazi: cronos
Yaziya "devasa" eklemeler: cnguru, 2007/01/30

__________________________