Chcemy wspierać przeglądarki wykorzystujące TLS 1.1 i 1.2, które najwyraźniej zostały zaimplementowane przez Microsoft, ale domyślnie są wyłączone.
Więc zacząłem szukać w Google i odkryłem niektóre strony, które wszyscy obserwują:
http://support.microsoft.com/kb/245030
https://www.derekseaman.com/2010/06/enable-tls-12-aes-256-and-sha-256-in.html
Jednak! Wydaje się, że to nie działa dla mnie. Ustawiłem zarówno wartości DWORD dla DisabledByDefault, jak i Enabled dla TLS 1.1 i 1.2. Mogę potwierdzić, że mój klient próbuje komunikować się z TLS 1.2, ale serwer odpowiada tylko 1.0. Zrestartowałem IIS, ale to nie zmieniło sytuacji.
Microsoft zwraca uwagę: „OSTRZEŻENIE: Wartość DisabledByDefault w kluczach rejestru pod kluczem Protocols nie ma pierwszeństwa przed wartością grbitEnabledProtocols zdefiniowaną w strukturze SCHANNEL_CRED, która zawiera dane dla poświadczenia Schannel.”
To dla mnie bardzo niejasne. Nie mogę znaleźć nigdzie, gdzie SCHANNEL_CRED jest zdefiniowany lub ustawiony, wszystko, co mogę ustalić, to struktura zdefiniowana w bibliotece Microsoft. To tylko moje przypuszczenie, dlaczego to nie działa, ale nie mogę znaleźć wystarczającej ilości informacji, aby ustalić, czy to prawdziwy problem.
źródło
Odpowiedzi:
Restart. Zmiany ustawień Schannel nie są uwzględniane, dopóki system nie zostanie ponownie uruchomiony.
źródło
Najłatwiejszym sposobem wprowadzania zmian w protokołach i szyfrach Microsoft SChannel (w tym porządkowaniu szyfrów) jest użycie IIS Crypto, które jest całkowicie darmowym narzędziem, które można pobrać bez żadnych irytujących wymagań rejestracyjnych.
Narzędzie manipuluje kluczami rejestru pod osłonami, jednak robi to w kontrolowany, sprawdzony i bezpieczny sposób. Używamy go regularnie.
Warto również zauważyć, że może to pomóc w scenariuszach automatyzacji, ponieważ oprócz wersji GUI ma wersję wiersza poleceń.
Istnieje również blog, który omawia niektóre zmiany i powody ich wprowadzenia. Narzędzie zwykle jest aktualizowane, gdy pojawią się problemy z SSL.
źródło
Włączenie TLS 1.1 i 1.2 wymaga ponownego uruchomienia. Wyłączenie RC4 i DH odbywa się bezpośrednio bez ponownego uruchamiania serwera lub usług.
Jeśli dobrze pamiętam, wyłączenie SSLv2 i SSLv3 było również natychmiast skuteczne.
źródło
https://technet.microsoft.com/en-us/library/dn786418.aspx
Aby włączyć protokół, zmień wartość DWORD na 0xffffffff.
źródło