Cómo habilitar TLS 1.1, 1.2 en IIS 7.5

26

Queremos admitir navegadores web que utilicen TLS 1.1 y 1.2, que aparentemente ha sido implementado por Microsoft, pero está desactivado de manera predeterminada.

Así que busqué en Google y descubrí algunas páginas que todo el mundo parece estar siguiendo:

http://support.microsoft.com/kb/245030

https://www.derekseaman.com/2010/06/enable-tls-12-aes-256-and-sha-256-in.html

¡Sin embargo! No parece estar funcionando para mí. He configurado ambos valores DWORD para DisabledByDefault y Enabled para TLS 1.1 y 1.2. Puedo confirmar que mi cliente está intentando comunicarse con TLS 1.2, pero el servidor solo responde con 1.0. He reiniciado IIS, pero no cambió la situación.

Microsoft señala: "ADVERTENCIA: El valor DisabledByDefault en las claves del registro bajo la clave Protocolos no tiene prioridad sobre el valor grbitEnabledProtocols que se define en la estructura SCHANNEL_CRED que contiene los datos para una credencial de Schannel".

Bueno, eso es muy vago para mí. No puedo encontrar ningún lugar donde SCHANNEL_CRED esté definido o configurado, todo lo que puedo determinar es una estructura definida en una biblioteca de Microsoft. Esa es mi única suposición de por qué esto no funciona, sin embargo, no puedo encontrar suficiente información para determinar si es el verdadero problema.

windows-server-2008  ssl  windows-server-2008-r2  iis-7.5  tls 
Sam Rueby
fuente
2
Odio preguntar lo obvio, pero ¿reiniciaste el servidor después de cambiar el registro?
Coding Gorilla
Hmmm En el Administrador de IIS, hice clic en "Reiniciar" en "Acciones".
Sam Rueby
Como indicó @ShaneMadden, estos cambios son más profundos que IIS, por lo que debe reiniciar el sistema para asegurarse de que se apliquen todos los cambios.
Coding Gorilla

Respuestas:

48

Reiniciar. Los cambios en la configuración de Schannel no surten efecto hasta que se reinicia el sistema.

Shane Madden
fuente
7

La forma más fácil de realizar cambios en los protocolos y cifrados de SChannel de Microsoft (incluido el pedido de cifrado) es usar IIS Crypto, que es una herramienta completamente gratuita que se puede descargar sin ningún tipo de requisitos de registro molestos.

La herramienta manipula las claves de registro debajo de las cubiertas, pero lo hace de forma controlada, probada y segura. Lo usamos regularmente.

También vale la pena señalar que puede ayudar en escenarios de automatización, ya que tiene una versión de línea de comandos además de una versión GUI.

También hay un blog que analiza algunos de los cambios y por qué se han realizado. La herramienta tiende a mantenerse actualizada cuando surgen problemas de SSL.

CarlR
fuente
0

Habilitar TLS 1.1 y 1.2 requiere un reinicio. Deshabilitar RC4 y DH es directamente sin reiniciar el servidor o los servicios.

Si no recuerdo mal, deshabilitar SSLv2 y SSLv3 también fue efectivo al instante.

usuario3193469
fuente
Al usar nuestro sitio, usted reconoce que ha leído y comprende nuestra Política de Cookies y Política de Privacidad.
Licensed under cc by-sa 3.0 with attribution required.