Queremos oferecer suporte a navegadores da Web que utilizam TLS 1.1 e 1.2, que aparentemente foram implementados pela Microsoft, mas estão desativados por padrão.
Então, eu procurei no Google e descobri algumas páginas que todo mundo parece estar seguindo:
http://support.microsoft.com/kb/245030
https://www.derekseaman.com/2010/06/enable-tls-12-aes-256-and-sha-256-in.html
Contudo! Não parece estar funcionando para mim. Eu configurei os vaules DWORD para DisabledByDefault e Enabled para TLS 1.1 e 1.2. Posso confirmar que meu cliente está tentando se comunicar com o TLS 1.2, mas o servidor responde apenas com 1.0. Reiniciei o IIS, mas não mudou a situação.
A Microsoft aponta: "AVISO: O valor DisabledByDefault nas chaves do Registro na chave Protocolos não tem precedência sobre o valor grbitEnabledProtocols definido na estrutura SCHANNEL_CRED que contém os dados para uma credencial do Schannel."
Bem, isso é muito vago para mim. Não consigo encontrar nenhum lugar em que SCHANNEL_CRED seja definido ou definido, tudo o que posso determinar é uma estrutura definida em uma biblioteca da Microsoft. Esse é o meu único palpite sobre por que isso não funciona, mas não consigo encontrar informações suficientes para determinar se é o verdadeiro problema.
fonte
Respostas:
Reinicie. As alterações nas configurações do Schannel não entram em vigor até que o sistema seja reiniciado.
fonte
A maneira mais fácil de fazer alterações nos protocolos e cifras do Microsoft SChannel (incluindo a ordem das cifras) é usar o IIS Crypto, uma ferramenta totalmente gratuita que pode ser baixada sem nenhum tipo de requisito de registro irritante.
A ferramenta manipula as chaves do registro sob as tampas, no entanto, de maneira controlada, comprovada e segura. Nós o usamos regularmente.
Também é importante notar que ele pode ajudar em cenários de automação, pois possui uma versão de linha de comando, além de uma versão da GUI.
Há também um blog que discute algumas das mudanças e por que elas foram feitas. A ferramenta tende a ser atualizada quando surgem problemas de SSL.
fonte
A ativação do TLS 1.1 e 1.2 requer uma reinicialização. Desabilitar o RC4 e o DH é diretamente sem reiniciar o servidor ou os serviços.
Se bem me lembro, desativar o SSLv2 e o SSLv3 também foi instantaneamente eficaz.
fonte
https://technet.microsoft.com/en-us/library/dn786418.aspx
Para habilitar o protocolo, altere o valor DWORD para 0xffffffff.
fonte