Rozdíly

Zde můžete vidět rozdíly mezi vybranou verzí a aktuální verzí dané stránky.

--- iis:ecdh-key-reuse [20.05.2024 05:34] – vytvořeno Ladislav Vojtíšek
+++ iis:ecdh-key-reuse [Neznámé datum] (aktuální) – upraveno mimo DokuWiki (Neznámé datum) 127.0.0.1
@@ Řádek 1: / Řádek 1: @@
 ====== ECDH key-reuse v reportu SSL Labs ======
+V SSL Labs reportu je jeden z testovaných parametrů webového serveru "ECDH key-reuse". To znamená, že server používá stejnou hodnotu klíče DH pro více handshake namísto generování nového klíče pro každý handshake. DH by měl být dočasný, proto se nazývá "DHE" nebo "ECDHE". To znamená, že klíč je na jedno použití a nikdy by neměl být použit opakovaně.\\
+Generování nového klíče NIST P-256 ECDH nebo X25519 je snadné, takže není nutné jej znovu používat z důvodů výkonu, nicméně některá zařízení s akcelerátorem SSL to přesto dělají. Toto není správné a měly by být nakonfigurovány tak, aby to nedělaly.\\
+V IIS to můžete zakázat pomocí Editoru registru tak, že v cestě:
+  .HKLM\System\CurrentControlSet\Control\SecurityProviders\Schannel\KeyExchangeAlgorithms\ECDH\
+vytvoříte hodnotu DWORD (32bit) **EphemKeyReuseTime** a nastavíte ji na hodnotu 0.