Можно ли включить TLS 1.1 и 1.2 в Windows Server 2008 SP2 (не R2) под управлением IIS7?
Я пробовал изменить реестр и использовать IIS Crypto, чтобы включить его, но, похоже, он не работает.
Если это невозможно, то как я могу смягчить атаки Зверя?
Microsoft выпустила обновление для Windows 2008 в 2017 году, которое добавляет поддержку TLS 1.1 и 1.2. См. @ Крис Веспер ответьте на подробности.
Windows 2008 не поддерживает TLS 1.1 и 1.2. Вы можете смягчить зверя, используя другой набор шифров (не включая RC4)
Взгляните на security.stackexchange.com: https://security.stackexchange.com/questions/14326/how-to-fix-ssl-2-0-and-beast-on-iis
Нам удалось заставить TLS 1.2 и 1.2 работать на Server 2008 SP2.
У нас есть приложение Win32, используемое на Server 2008 SP2 многочисленными клиентами. Приложению необходимо связаться с компаниями по обработке кредитных карт, которые поддерживают только TLS 1.2 по состоянию на апрель 2018 года.
Установите KB4019276 из https://www.catalog.update.microsoft.com/Search.aspx?q=KB4019276
Создайте ключи реестра для TLS 1.1 и TLS 1.2. Эти ключи создаются в HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SecurityProviders \ SCHANNEL \ Protocols, как описано здесь. https://support.quovadisglobal.com/kb/a433/how-to-enable-tls-1_2-on-windows-server-2008-r2.aspx
Включите TLS 1.1 и 1.2 в Internet Explorer 9, как описано здесь. https://msfn.org/board/topic/176902-enables-tls-1112-support-in-vistas-internet-explorer-9/
Щелкните правой кнопкой мыши папку «Протоколы» и выберите «Создать», а затем «Ключ» в раскрывающемся меню. Это создаст новую папку. Переименуйте эту папку в TLS 1.2.
Щелкните правой кнопкой мыши ключ TLS 1.2 и добавьте под ним два новых ключа.
Переименуйте два новых ключа как: Client Server
Щелкните правой кнопкой мыши ключ клиента и выберите «Создать», а затем «Значение DWORD (32-разрядное)» из раскрывающегося списка.
Переименуйте DWORD в DisabledByDefault.
Щелкните правой кнопкой мыши имя DisabledByDefault и выберите «Изменить ...» в раскрывающемся меню.
Убедитесь, что в поле «Значение» задано значение 0, а в поле «База» указано шестнадцатеричное значение. Щелкните ОК.
Создайте еще один DWORD для ключа клиента, как вы это делали на шаге 7.
Переименуйте этот второй DWORD в Enabled.
Щелкните правой кнопкой мыши имя «Включено» и выберите «Изменить ...» в раскрывающемся меню.
12 Убедитесь, что в поле «Значение» установлено значение 1, а значение «База» - шестнадцатеричное. Щелкните ОК.
Повторите шаги с 5 по 12 для ключа сервера (создав два DWORD, DisabledByDefault и Enabled, и их значения под ключом сервера).
Перезагрузите сервер.
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ InternetExplorer \ AdvancedOptions \ CRYPTO \ TLS1.1
Удалите подраздел "OSVersion" = "3.6.1.0.0")
Перейдите в HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ InternetExplorer \ AdvancedOptions \ CRYPTO \ TLS1.2.
Снова удалите подраздел «OSVersion» = «3.6.1.0.0». Закройте редактор реестра.
Запустите IE9; Инструменты -> Свойства обозревателя -> вкладка «Дополнительно» -> Прокрутите вниз до «Безопасность»:
До KB4019276 и изменений в реестре в Vista было доступно только «Использовать TLS 1.0»; вы должны были уже снять отметку со старых опций «Использовать SSL 2.0 / 3.0», чтобы избежать атак «POODLE»; снимите флажок «Использовать TLS 1.0» (при желании также «Использовать TLS 1.1») и установите флажок «Использовать TLS 1.2».
Нажмите «Применить», «ОК», затем выйдите из IE9.
После перезапуска IE9 вы обнаружите, что теперь можете посещать все те сайты, которые раньше не загружались из-за неподдерживаемых протоколов TLS: