Cómo deshabilitar PCT 1.0, SSL 2.0, SSL 3.0 o TLS 1.0 en Internet Information Services


Recomendamos encarecidamente que todos los usuarios se actualicen a la versión 7.0 de Microsoft Internet Information Services (IIS) que se ejecuta en Microsoft Windows Server 2008. IIS 7.0 aumenta considerablemente la seguridad de la infraestructura web. Para obtener más información sobre temas relacionados con la seguridad de IIS, visite el siguiente sitio web de Microsoft:Para obtener más información sobre IIS 7.0, visite el siguiente sitio web de Microsoft:

Resumen


Puede usar HTTPS para conectarse a:
  • Las versiones 3.0 y posteriores de Microsoft Internet Information Server (IIS)
  • Las versiones 5.0 y posteriores de Microsoft Internet Information Server (IIS)
Al hacerlo, el cliente y el servidor negociarán un protocolo común para asegurar el canal. Si el cliente y el servidor tienen varios protocolos en común, IIS intentará asegurar el canal con uno de los protocolos que admite. El protocolo que IIS usa se selecciona con el siguiente orden de preferencia:
  1. PCT 1.0
  2. SSL 3.0
  3. SSL 2.0
A veces, si desea, podrá deshabilitar uno o más de estos protocolos. Para ello, tendrá que cambiar el Registro.

Nota En Windows Server 2008, PCT 1.0 no es una opción configurable y no tendrá que reiniciar el servidor.

Más información


Microsoft Windows NT Server almacena información sobre los protocolos de canal con seguridad mejorada diferentes compatibles con Windows NT Server. Esta información se almacena en las siguientes claves del Registro:

HKey_Local_Machine\System\CurrentControlSet\Control\SecurityProviders \SCHANNEL\Protocols

Habitualmente, esta clave contiene las siguientes subclaves:
  • PCT 1.0
  • SSL 2.0
  • SSL 3.0
  • TLS 1.0
Cada clave contiene información sobre el protocolo de la clave. Cualquiera de estos protocolos se puede deshabilitar en el servidor. Para ello, puede crear un nuevo valor de DWORD en la subclave del servidor del protocolo. Establezca el valor de DWORD en "00 00 00 00."


Nota De forma predeterminada, PCT no se habilita en Microsoft Windows Server 2003.


Solución 


Importante En esta sección, método o tarea se incluyen pasos que le permitirán modificar el Registro. Sin embargo, se pueden producir problemas graves si modifica el Registro incorrectamente. Por tanto, asegúrese de que sigue estos pasos cuidadosamente. Para mayor protección, realice una copia de seguridad del Registro antes de modificarlo. De esta manera podrá restaurar el Registro en caso de que se produzca un problema. Para obtener más información acerca de cómo realizar una copia de seguridad y restaurar el Registro, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
322756 Hacer una copia de seguridad del Registro y restaurarlo en Windows

Para obtener información acerca de cómo modificar el Registro, consulte el tema de Ayuda "Cambiar claves y valores" del Editor del Registro. Consulte también los temas de Ayuda "Agregar y eliminar información del Registro" y "Modificar información del Registro" del Editor del Registro.
Para que IIS no intente negociar con el protocolo PCT 1.0, debe deshabilitarlo. Para ello, siga estos pasos:

  1. Haga clic en Inicio, Ejecutar, escriba regedt32 o regedit y, a continuación, haga clic en Aceptar.
  2. En el Editor del Registro, busque la siguiente clave:

    HKey_Local_Machine\System\CurrentControlSet\Control\SecurityProviders \SCHANNEL\Protocols\PCT 1.0\Server
  3. En el menú Edición, haga clic en Agregar valor.
  4. En la lista Tipo de datos, haga clic en DWORD.
  5. En el cuadro Nombre del valor, escriba Habilitado y, a continuación, haga clic en Aceptar.


    Nota Si este valor está presente, haga doble clic en él para editar su valor actual.
  6. Escriba 00000000 en el Editor binario para establecer el valor de la nueva clave en "0".
  7. Haga clic en Aceptar. Reinicie el equipo.

Referencias


Para obtener más información, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:

245030 Cómo restringir el uso de determinados protocolos y algoritmos criptográficos en Schannel.dll