Мы создаем приложение ASP.NET MVC для развертывания на Windows Server 2016 и IIS. Мы запустили сервер через SSL Labs сканирование, и он дал это как один из результатов:
Этот сервер уязвим для уязвимости Return Of Bleichenbacher Oracle Threat (ROBOT). С марта 2018 года оценка будет установлена на F.
На их странице «Дополнительная информация» было предложено решение перейти на TLS 1.3. Однако, поскольку этот пост комментарий указывает, что по состоянию на лето 2017 года 1.3 находится в черновом режиме.
Доступен ли TLS 1.3 для серверов Windows? Если нет, то есть ли сроки его выпуска?
Доступен ли TLS 1.3 для серверов Windows? Если нет, то есть ли сроки его выпуска?
TLS 1.3 все еще находится в стадии черновика, и на данный момент нет ожидаемой даты выпуска. Это может быть в этом году, может быть в следующем.
Возможно, вы захотите заглянуть в Security Stack Exchange, чтобы получить советы по исправлению (при необходимости) указанной уязвимости. Я предлагаю проверить, что система на самом деле уязвим прежде чем перейти к этапам восстановления.