Como habilitar o TLS 1.1, 1.2 no IIS 7.5

26

Queremos oferecer suporte a navegadores da Web que utilizam TLS 1.1 e 1.2, que aparentemente foram implementados pela Microsoft, mas estão desativados por padrão.

Então, eu procurei no Google e descobri algumas páginas que todo mundo parece estar seguindo:

http://support.microsoft.com/kb/245030

https://www.derekseaman.com/2010/06/enable-tls-12-aes-256-and-sha-256-in.html

Contudo! Não parece estar funcionando para mim. Eu configurei os vaules DWORD para DisabledByDefault e Enabled para TLS 1.1 e 1.2. Posso confirmar que meu cliente está tentando se comunicar com o TLS 1.2, mas o servidor responde apenas com 1.0. Reiniciei o IIS, mas não mudou a situação.

A Microsoft aponta: "AVISO: O valor DisabledByDefault nas chaves do Registro na chave Protocolos não tem precedência sobre o valor grbitEnabledProtocols definido na estrutura SCHANNEL_CRED que contém os dados para uma credencial do Schannel."

Bem, isso é muito vago para mim. Não consigo encontrar nenhum lugar em que SCHANNEL_CRED seja definido ou definido, tudo o que posso determinar é uma estrutura definida em uma biblioteca da Microsoft. Esse é o meu único palpite sobre por que isso não funciona, mas não consigo encontrar informações suficientes para determinar se é o verdadeiro problema.

Sam Rueby
fonte
2
Detesto perguntar o óbvio, mas você reiniciou o servidor após alterar o registro?
Coding Gorilla
Hummm. No Gerenciador do IIS, cliquei em "Reiniciar" em "Ações".
Sam Rueby 23/09
Como o @ShaneMadden indicou, essas alterações são mais profundas que o IIS, então você precisa reiniciar o sistema para garantir que todas as alterações sejam aplicadas.
Coding Gorilla

Respostas:

48

Reinicie. As alterações nas configurações do Schannel não entram em vigor até que o sistema seja reiniciado.

Shane Madden
fonte
7

A maneira mais fácil de fazer alterações nos protocolos e cifras do Microsoft SChannel (incluindo a ordem das cifras) é usar o IIS Crypto, uma ferramenta totalmente gratuita que pode ser baixada sem nenhum tipo de requisito de registro irritante.

A ferramenta manipula as chaves do registro sob as tampas, no entanto, de maneira controlada, comprovada e segura. Nós o usamos regularmente.

Também é importante notar que ele pode ajudar em cenários de automação, pois possui uma versão de linha de comando, além de uma versão da GUI.

Há também um blog que discute algumas das mudanças e por que elas foram feitas. A ferramenta tende a ser atualizada quando surgem problemas de SSL.

CarlR
fonte
0

A ativação do TLS 1.1 e 1.2 requer uma reinicialização. Desabilitar o RC4 e o DH é diretamente sem reiniciar o servidor ou os serviços.

Se bem me lembro, desativar o SSLv2 e o SSLv3 também foi instantaneamente eficaz.

user3193469
fonte
-1

https://technet.microsoft.com/en-us/library/dn786418.aspx

Para habilitar o protocolo, altere o valor DWORD para 0xffffffff.

VasekB
fonte
ativar o protocolo é 0xffffffff ou 1?
Ravindran Keshavan
Esse link sobre esta resposta diz que o valor deve ser 1, não menciona fff ... em qualquer lugar
Todd