Como habilitar o TLS 1.1, 1.2 no IIS 7.5

26

Queremos oferecer suporte a navegadores da Web que utilizam TLS 1.1 e 1.2, que aparentemente foram implementados pela Microsoft, mas estão desativados por padrão.

Então, eu procurei no Google e descobri algumas páginas que todo mundo parece estar seguindo:

http://support.microsoft.com/kb/245030

https://www.derekseaman.com/2010/06/enable-tls-12-aes-256-and-sha-256-in.html

Contudo! Não parece estar funcionando para mim. Eu configurei os vaules DWORD para DisabledByDefault e Enabled para TLS 1.1 e 1.2. Posso confirmar que meu cliente está tentando se comunicar com o TLS 1.2, mas o servidor responde apenas com 1.0. Reiniciei o IIS, mas não mudou a situação.

A Microsoft aponta: "AVISO: O valor DisabledByDefault nas chaves do Registro na chave Protocolos não tem precedência sobre o valor grbitEnabledProtocols definido na estrutura SCHANNEL_CRED que contém os dados para uma credencial do Schannel."

Bem, isso é muito vago para mim. Não consigo encontrar nenhum lugar em que SCHANNEL_CRED seja definido ou definido, tudo o que posso determinar é uma estrutura definida em uma biblioteca da Microsoft. Esse é o meu único palpite sobre por que isso não funciona, mas não consigo encontrar informações suficientes para determinar se é o verdadeiro problema.

windows-server-2008  ssl  windows-server-2008-r2  iis-7.5  tls 
Sam Rueby
fonte
2
Detesto perguntar o óbvio, mas você reiniciou o servidor após alterar o registro?
Coding Gorilla
Hummm. No Gerenciador do IIS, cliquei em "Reiniciar" em "Ações".
Sam Rueby 23/09
Como o @ShaneMadden indicou, essas alterações são mais profundas que o IIS, então você precisa reiniciar o sistema para garantir que todas as alterações sejam aplicadas.
Coding Gorilla

Respostas:

48

Reinicie. As alterações nas configurações do Schannel não entram em vigor até que o sistema seja reiniciado.

Shane Madden
fonte
7

A maneira mais fácil de fazer alterações nos protocolos e cifras do Microsoft SChannel (incluindo a ordem das cifras) é usar o IIS Crypto, uma ferramenta totalmente gratuita que pode ser baixada sem nenhum tipo de requisito de registro irritante.

A ferramenta manipula as chaves do registro sob as tampas, no entanto, de maneira controlada, comprovada e segura. Nós o usamos regularmente.

Também é importante notar que ele pode ajudar em cenários de automação, pois possui uma versão de linha de comando, além de uma versão da GUI.

Há também um blog que discute algumas das mudanças e por que elas foram feitas. A ferramenta tende a ser atualizada quando surgem problemas de SSL.

CarlR
fonte
0

A ativação do TLS 1.1 e 1.2 requer uma reinicialização. Desabilitar o RC4 e o DH é diretamente sem reiniciar o servidor ou os serviços.

Se bem me lembro, desativar o SSLv2 e o SSLv3 também foi instantaneamente eficaz.

user3193469
fonte
Ao utilizar nosso site, você reconhece que leu e compreendeu nossa Política de Cookies e nossa Política de Privacidade.
Licensed under cc by-sa 3.0 with attribution required.