Windows Server 2008 R2'de TLS 1.1 ve 1.2'nin devre dışı bırakılmasının bir nedeni var mı?


17

Windows Server 2008 R2, TLS 1.1 ve 1.2'yi destekliyor gibi görünüyor, ancak varsayılan olarak devre dışıdır.

Neden varsayılan olarak devre dışı bırakılırlar?

Herhangi bir dezavantajı var mı?

Yanıtlar:


11

Server 2008 R2 / Windows 7, Windows için TLS 1.1 ve TLS 1.2 desteğini tanıttı ve TLS 1.0'ı savunmasız hale getiren saldırılardan önce serbest bırakıldı, bu yüzden en yaygın kullanılan TLS sürümü olduğu için muhtemelen sadece TLS 1.0'ın varsayılan olması meselesi Server 2008 R2 piyasaya sürüldüğünde (Temmuz 2009).

Nasıl emin olacağınızdan emin değilsiniz veya bir tasarım kararının "neden" verildiğini öğrenirsiniz, ancak Windows 7 ve Server 2008 R2'nin bu özelliği Windows ailesine tanıttığı ve Windows Server 2012'nin varsayılan olarak TLS 1.2'yi kullandığı göz önüne alındığında, o zaman "işlerin nasıl yapıldığı" meselesi olduğunu öne sürüyordu. TLS 1.0 hala "yeterince iyi" idi, bu yüzden varsayılandı, ancak TLS 1.1 ve 1.2 ileri destek ve ileri kullanılabilirlik için desteklendi.

Bir Microsoft çalışanından gelen bu technet blogu , TLS'nin daha yeni sürümlerinin etkinleştirilmesini önerir ve ayrıca (Ekim 2011 itibariyle):

Yine web sunucuları arasında, IIS 7.5, TLS 1.1 ve TLS 1.2'yi destekleyen tek sunucudur. Şu an itibariyle Apache bu protokolleri desteklemiyor çünkü OPENSSL onlar için destek içermiyor. Umarım endüstrinin yeni standartlarını yakalarlar.

Bu, daha yeni TLS sürümlerinin Server 2008 R2'de, daha yeni olmaları ve o sırada yaygın olarak desteklenmemeleri veya kullanılmamaları için varsayılan olarak etkinleştirilmemeleri fikrini de desteklemektedir - Apache ve OpenSSL, bunları tek başına bile desteklemedi bunları varsayılan olarak kullanın.

Çeşitli SSL / TLS sürümlerinin tam olarak nasıl etkinleştirileceği ve devre dışı bırakılacağıyla ilgili ayrıntılar başlıklı Microsoft KB makale numarası 245030'da bulunabilirHow to restrict the use of certain cryptographic algorithms and protocols in Schannel.dll . Açıkçası, Clienttuşlar Internet Explorer'ı denetler ve Servertuşlar IIS'yi kapsar.


1

Bunu kendim merak ediyordum ... belki de o sırada bilinen uyumluluk sorunları nedeniyle ... Bu MSDN blog girişini buldum (24-Mar-2011'den):

http://blogs.msdn.com/b/ieinternals/archive/2011/03/25/misbehaving-https-servers-impair-tls-1.1-and-tls-1.2.aspx

Bazı web sunucuları, desteklenmeyen protokol isteklerine yanıt verme biçiminde "yanlış davranma" dan bahseder, bu da istemcinin desteklenen bir protokole geri dönmemesine neden olur ve sonuçta kullanıcılar web sitelerine erişemez.

Bu blog girişinin bir kısmı burada alıntılanıyor:

Sunucunun bu şekilde davranması gerekmiyor; bunun yerine desteklediği en son HTTPS protokol sürümünü kullanarak yanıt vermesi bekleniyor (örn. "3.1" aka TLS 1.0) Şimdi sunucu bu noktada bağlantıyı incelikle kapatmış olsaydı, iyi olsun - WinINET'teki kod geri dönecek ve yalnızca TLS 1.0 sunan bağlantıyı yeniden deneyecek.WININET, TLS1.1 ve 1.2 TLS1.0'a geri dönüş, ardından SSL3'e (etkinse) sonra SSL2'ye (etkinse) geri dönüş kodunu içerir. gerilemenin dezavantajı performanstır - yeni düşük versiyonlu el sıkışma için gereken ekstra gidiş dönüşler genellikle onlarca veya yüzlerce milisaniyelik bir cezaya neden olur.

Ancak, bu sunucu bağlantıyı iptal etmek için bir TCP / IP RST kullandı, bu da WinINET'teki geri dönüş kodunu devre dışı bırakır ve tüm bağlantı sırasının terk edilmesine neden olarak kullanıcının “Internet Explorer web sayfasını görüntüleyemedi” hata mesajını bırakır.

Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.