Назад | Перейти на главную страницу

Включение TLS 1.1 и 1.2 в Windows Server 2008 SP2

Можно ли включить TLS 1.1 и 1.2 в Windows Server 2008 SP2 (не R2) под управлением IIS7?

Я пробовал изменить реестр и использовать IIS Crypto, чтобы включить его, но, похоже, он не работает.

Если это невозможно, то как я могу смягчить атаки Зверя?

Microsoft выпустила обновление для Windows 2008 в 2017 году, которое добавляет поддержку TLS 1.1 и 1.2. См. @ Крис Веспер ответьте на подробности.

Оригинал:

Windows 2008 не поддерживает TLS 1.1 и 1.2. Вы можете смягчить зверя, используя другой набор шифров (не включая RC4)

Взгляните на security.stackexchange.com: https://security.stackexchange.com/questions/14326/how-to-fix-ssl-2-0-and-beast-on-iis

Нам удалось заставить TLS 1.2 и 1.2 работать на Server 2008 SP2.

У нас есть приложение Win32, используемое на Server 2008 SP2 многочисленными клиентами. Приложению необходимо связаться с компаниями по обработке кредитных карт, которые поддерживают только TLS 1.2 по состоянию на апрель 2018 года.

Вот процедура, которой мы следовали:

  1. Установите KB4019276 из https://www.catalog.update.microsoft.com/Search.aspx?q=KB4019276

  2. Создайте ключи реестра для TLS 1.1 и TLS 1.2. Эти ключи создаются в HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SecurityProviders \ SCHANNEL \ Protocols, как описано здесь. https://support.quovadisglobal.com/kb/a433/how-to-enable-tls-1_2-on-windows-server-2008-r2.aspx

  3. Включите TLS 1.1 и 1.2 в Internet Explorer 9, как описано здесь. https://msfn.org/board/topic/176902-enables-tls-1112-support-in-vistas-internet-explorer-9/

Подробные инструкции из шага 2 выше, если URL мертв.

  1. Перейдите к следующему разделу реестра: HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SecurityProviders \ SCHANNEL \ Protocols
  2. Щелкните правой кнопкой мыши папку «Протоколы» и выберите «Создать», а затем «Ключ» в раскрывающемся меню. Это создаст новую папку. Переименуйте эту папку в TLS 1.2.

  3. Щелкните правой кнопкой мыши ключ TLS 1.2 и добавьте под ним два новых ключа.

  4. Переименуйте два новых ключа как: Client Server

  5. Щелкните правой кнопкой мыши ключ клиента и выберите «Создать», а затем «Значение DWORD (32-разрядное)» из раскрывающегося списка.

  6. Переименуйте DWORD в DisabledByDefault.

  7. Щелкните правой кнопкой мыши имя DisabledByDefault и выберите «Изменить ...» в раскрывающемся меню.

  8. Убедитесь, что в поле «Значение» задано значение 0, а в поле «База» указано шестнадцатеричное значение. Щелкните ОК.

  9. Создайте еще один DWORD для ключа клиента, как вы это делали на шаге 7.

  10. Переименуйте этот второй DWORD в Enabled.

  11. Щелкните правой кнопкой мыши имя «Включено» и выберите «Изменить ...» в раскрывающемся меню.

12 Убедитесь, что в поле «Значение» установлено значение 1, а значение «База» - шестнадцатеричное. Щелкните ОК.

  1. Повторите шаги с 5 по 12 для ключа сервера (создав два DWORD, DisabledByDefault и Enabled, и их значения под ключом сервера).

  2. Перезагрузите сервер.

Подробные инструкции из шага 3 выше, если URL мертв.

  1. После установки KB4019276 запустите regedit, желательно от имени администратора, и перейдите к

HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ InternetExplorer \ AdvancedOptions \ CRYPTO \ TLS1.1

  1. Удалите подраздел "OSVersion" = "3.6.1.0.0")

  2. Перейдите в HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ InternetExplorer \ AdvancedOptions \ CRYPTO \ TLS1.2.

  3. Снова удалите подраздел «OSVersion» = «3.6.1.0.0». Закройте редактор реестра.

  4. Запустите IE9; Инструменты -> Свойства обозревателя -> вкладка «Дополнительно» -> Прокрутите вниз до «Безопасность»:

  5. До KB4019276 и изменений в реестре в Vista было доступно только «Использовать TLS 1.0»; вы должны были уже снять отметку со старых опций «Использовать SSL 2.0 / 3.0», чтобы избежать атак «POODLE»; снимите флажок «Использовать TLS 1.0» (при желании также «Использовать TLS 1.1») и установите флажок «Использовать TLS 1.2».

  6. Нажмите «Применить», «ОК», затем выйдите из IE9.

  7. После перезапуска IE9 вы обнаружите, что теперь можете посещать все те сайты, которые раньше не загружались из-за неподдерживаемых протоколов TLS: