Windows Server 2008 R2 ดูเหมือนว่าจะรองรับ TLS 1.1 และ 1.2 แต่จะปิดใช้งานตามค่าเริ่มต้น
เหตุใดจึงปิดใช้งานโดยค่าเริ่มต้น
พวกเขามีข้อบกพร่องหรือไม่?
Windows Server 2008 R2 ดูเหมือนว่าจะรองรับ TLS 1.1 และ 1.2 แต่จะปิดใช้งานตามค่าเริ่มต้น
เหตุใดจึงปิดใช้งานโดยค่าเริ่มต้น
พวกเขามีข้อบกพร่องหรือไม่?
คำตอบ:
Server 2008 R2 / Windows 7 แนะนำการสนับสนุน TLS 1.1 และ TLS 1.2 สำหรับ Windows และได้รับการปล่อยตัวก่อนการโจมตีที่ทำให้ TLS 1.0 มีความเสี่ยงดังนั้นอาจเป็นเรื่องของ TLS 1.0 ที่เป็นค่าเริ่มต้นเนื่องจากเป็นรุ่น TLS ที่ใช้กันอย่างแพร่หลาย ในเวลาที่ Server 2008 R2 เปิดตัว (กรกฎาคม, 2009)
ไม่แน่ใจว่าคุณรู้ได้อย่างไรหรือค้นหาคำว่า "ทำไม" มีการตัดสินใจในการออกแบบ แต่เนื่องจาก Windows 7 และ Server 2008 R2 ได้แนะนำคุณลักษณะให้กับตระกูล Windows และ Windows Server 2012 ใช้ TLS 1.2 ตามค่าเริ่มต้น ดูเหมือนจะแนะนำว่ามันเป็นเรื่องของ "วิธีการทำสิ่งต่าง ๆ " ในเวลา TLS 1.0 ยังคง "ดีพอ" ดังนั้นจึงเป็นค่าเริ่มต้น แต่ TLS 1.1 และ 1.2 ได้รับการสนับสนุนสำหรับการสนับสนุนล่วงหน้าและความสามารถในการใช้งานไปข้างหน้า
บล็อกด้านเทคนิคนี้จากพนักงานของ Microsoftแนะนำให้เปิดใช้งาน TLS เวอร์ชันที่ใหม่กว่าและบันทึกไว้ด้วยว่า (ณ เดือนตุลาคม 2554):
ในบรรดาเว็บเซิร์ฟเวอร์อีกครั้ง IIS 7.5 เป็นเพียงรายการเดียวที่รองรับ TLS 1.1 และ TLS 1.2 ณ ตอนนี้ Apache ไม่รองรับโปรโตคอลเหล่านี้เนื่องจาก OPENSSL ไม่รองรับการใช้งานเหล่านี้ หวังว่าพวกเขาจะได้มาตรฐานอุตสาหกรรมใหม่ ๆ
ที่เพิ่มเติมสนับสนุนแนวคิดที่ว่ารุ่น TLS ที่ใหม่กว่านั้นไม่ได้เปิดใช้งานโดยค่าเริ่มต้นใน Server 2008 R2 ด้วยเหตุผลง่ายๆว่าเป็นรุ่นใหม่กว่าและไม่รองรับหรือใช้กันอย่างแพร่หลายในขณะนั้น - Apache และ OpenSSL ยังไม่รองรับแม้แต่อย่างเดียว ใช้เป็นค่าเริ่มต้น
รายละเอียดเกี่ยวกับวิธีการที่จะเปิดใช้งานและปิดการใช้งาน SSL ต่างๆ / รุ่น TLS สามารถพบได้ในMicrosoft บทความ KB หมายเลข 245030 How to restrict the use of certain cryptographic algorithms and protocols in Schannel.dllบรรดาศักดิ์ เห็นได้ชัดว่าClientปุ่มควบคุม Internet Explorer และServerปุ่มครอบคลุม IIS
ฉันสงสัยว่าตัวเอง ... อาจเป็นเพราะปัญหาความเข้ากันได้ที่รู้จักกันในเวลา ... ฉันพบบล็อกรายการ MSDN นี้ (ตั้งแต่วันที่ 24 มีนาคม 2011):
มันพูดถึงบางเว็บเซิร์ฟเวอร์ "ทำงานผิดปกติ" ในวิธีที่พวกเขาตอบสนองต่อการร้องขอโพรโทคอลที่ไม่ได้รับการสนับสนุนซึ่งทำให้ไคลเอนต์ไม่สามารถย้อนกลับไปยังโพรโทคอลที่รองรับได้
อ้างถึงส่วนหนึ่งของรายการบล็อกที่นี่:
เซิร์ฟเวอร์ไม่ควรทำงานในลักษณะนี้ - แทนที่จะคาดหวังว่าจะเพียงแค่ตอบกลับโดยใช้รุ่นโปรโตคอล HTTPS ล่าสุดที่รองรับ (เช่น "3.1" หรือ TLS 1.0) หรือที่อื่นตอนนี้หากเซิร์ฟเวอร์ปิดการเชื่อมต่อที่จุดนี้ จะโอเค - โค้ดใน WinINET จะสำรองและลองการเชื่อมต่อที่เสนอเพียง TLS 1.0 เท่านั้น WinINET จะรวมโค้ดเช่น TLS1.1 & 1.2 ทางเลือกเป็น TLS1.0 จากนั้นกลับไปเป็น SSL3 (ถ้าเปิดใช้งาน) SSL2 (หากเปิดใช้งาน) ข้อเสียของทางเลือกคือประสิทธิภาพการปัดเศษพิเศษที่จำเป็นสำหรับการจับมือที่มีเวอร์ชันต่ำกว่าใหม่โดยทั่วไปจะส่งผลให้มีการลงโทษเป็นสิบหรือหลายร้อยมิลลิวินาที
อย่างไรก็ตามเซิร์ฟเวอร์นี้ใช้ TCP / IP RST เพื่อยกเลิกการเชื่อมต่อซึ่งจะปิดการใช้งานรหัสสำรองใน WinINET และทำให้ลำดับการเชื่อมต่อทั้งหมดถูกยกเลิกทำให้ผู้ใช้ที่มีข้อความข้อผิดพลาด“ Internet Explorer ไม่สามารถแสดงหน้าเว็บ” ได้