Мы хотим поддерживать веб-браузеры, использующие TLS 1.1 и 1.2, который, по-видимому, реализован Microsoft, но по умолчанию отключен.
Я поискал в Google и обнаружил несколько страниц, за которыми, похоже, следят все:
http://support.microsoft.com/kb/245030
https://www.derekseaman.com/2010/06/enable-tls-12-aes-256-and-sha-256-in.html
Тем не мение! Похоже, у меня это не работает. Я установил оба параметра DWORD для DisabledByDefault и Enabled для TLS 1.1 и 1.2. Я могу подтвердить, что мой клиент пытается связаться с TLS 1.2, но сервер отвечает только 1.0. Я перезапустил IIS, но это не изменило ситуацию.
Microsoft указывает: «ПРЕДУПРЕЖДЕНИЕ: значение DisabledByDefault в разделах реестра в разделе протоколов не имеет приоритета над значением grbitEnabledProtocols, которое определено в структуре SCHANNEL_CRED, которая содержит данные для учетных данных Schannel».
Для меня это очень расплывчато. Я не могу найти нигде, где SCHANNEL_CRED определен или установлен, все, что я могу определить, это структура, определенная в библиотеке Microsoft. Это мое единственное предположение, почему это не работает, но я не могу найти достаточно информации, чтобы определить, действительно ли это проблема.
Перезагрузка. Изменения в настройках Schannel не вступят в силу до перезагрузки системы.
Самый простой способ внести изменения в протоколы и шифры Microsoft SChannel (включая порядок шифров) - использовать IIS Crypto который является полностью бесплатным инструментом, который можно загрузить без каких-либо раздражающих требований к регистрации.
Инструмент манипулирует ключами реестра под покровом, но делает это контролируемым, проверенным и безопасным способом. Мы пользуемся им регулярно.
Также стоит отметить, что он может помочь в сценариях автоматизации, поскольку он имеет версию для командной строки в дополнение к версии с графическим интерфейсом.
Также есть блог здесь обсуждаются некоторые изменения и причины их внесения. Инструмент обычно обновляется при возникновении проблем с SSL.
Для включения TLS 1.1 и 1.2 требуется перезагрузка. Отключение RC4 и DH осуществляется напрямую без перезапуска сервера или служб.
Если я правильно помню, отключение SSLv2 и SSLv3 также было мгновенно эффективным.
https://technet.microsoft.com/en-us/library/dn786418.aspx
Чтобы включить протокол, измените значение DWORD на 0xffffffff.