Question Existe-t-il une raison pour laquelle TLS 1.1 et 1.2 sont désactivés sur Windows Server 2008 R2?


Windows Server 2008 R2 semble prendre en charge TLS 1.1 et 1.2 mais ils sont désactivés par défaut.

Pourquoi sont-ils désactivés par défaut?

Ont-ils des inconvénients?


17
2017-10-15 14:25


origine




Réponses:


Server 2008 R2 / Windows 7 a introduit la prise en charge de Windows par TLS 1.1 et TLS 1.2 et a été publié avant les attaques qui rendaient TLS 1.0 vulnérable. Il est donc probable que TLS 1.0 soit la valeur par défaut car il s'agit de la version TLS la plus largement utilisée. au moment de la publication de Server 2008 R2 (juillet 2009).

Vous ne savez pas exactement comment vous le savez ou si vous découvrez "pourquoi" une décision de conception a été prise, mais étant donné que Windows 7 et Server 2008 R2 ont introduit cette fonctionnalité dans la famille Windows, Windows Server 2012 utilise TLS 1.2 par défaut. semblerait suggérer que c'était une question de "la façon dont les choses ont été faites" à l'époque. TLS 1.0 était toujours "assez bon", donc c'était la valeur par défaut, mais TLS 1.1 et 1.2 étaient pris en charge pour la prise en charge et l'opérabilité vers l'avant.

Ce blog technique d'un employé de Microsoft recommande d'activer les nouvelles versions de TLS et note également qu'à compter d'octobre 2011:

Parmi les serveurs Web, IIS 7.5 est le seul qui prend en charge TLS 1.1 et TLS 1.2. À ce jour, Apache ne prend pas en charge ces protocoles, car OPENSSL ne les prend pas en charge. Espérons qu'ils rattraperont les nouvelles normes de l'industrie.

Cela confirme également l’idée que les nouvelles versions de TLS n’étaient pas activées par défaut dans Server 2008 R2 pour la simple raison qu’elles étaient plus récentes et n’étaient pas largement prises en charge ou utilisées à ce moment-là. Apache et OpenSSL n’en avaient même pas besoin. soutien encore les utiliser, laissez les utiliser par défaut.

Des détails sur la manière d'activer et de désactiver les différentes versions de SSL / TLS sont disponibles dans Article de la base de connaissances Microsoft 245030, intitulé How to restrict the use of certain cryptographic algorithms and protocols in Schannel.dll. De toute évidence, le Client touches contrôlent Internet Explorer, et le Server les touches couvrent IIS.


11
2017-10-15 15:55





Je me demandais cela moi-même ... peut-être simplement à cause de problèmes de compatibilité connus à l'époque ... J'ai trouvé cette entrée de blog MSDN (du 24 mars 2011):

http://blogs.msdn.com/b/ieinternals/archive/2011/03/25/misbehaving-https-servers-impair-tls-1.1-and-tls-1.2.aspx

Il est question de "mauvais comportement" de certains serveurs Web dans la façon dont ils répondent à des demandes de protocole non prises en charge, ce qui a ensuite empêché le client de se replier sur un protocole pris en charge, ce qui a pour résultat final que les utilisateurs ne peuvent pas accéder au (x) site (s) Web.

Citant une partie de cette entrée de blog ici:

Le serveur n’est pas censé se comporter de cette manière. Il doit plutôt répondre simplement en utilisant la dernière version du protocole HTTPS qu’il prend en charge (par exemple, "3.1", ou TLS 1.0). À présent, si le serveur avait fermé gracieusement la connexion à ce stade, il ça va aller-- le code dans WinINET se replierait et retenterait la connexion offrant uniquement TLS 1.0. WinINET inclut un code tel que TLS1.1 & 1.2 se replie sur TLS1.0, puis se replie sur SSL3 (si activé), puis sur SSL2 (si activé). La performance est un inconvénient: les allers-retours supplémentaires nécessaires pour la nouvelle poignée de main avec version inférieure entraînent généralement une pénalité de plusieurs dizaines, voire plusieurs centaines de millisecondes.

Toutefois, ce serveur a utilisé un RST TCP / IP pour interrompre la connexion, ce qui désactive le code de secours dans WinINET et entraîne l'abandon de la séquence de connexion complète, laissant à l'utilisateur le message d'erreur «Internet Explorer ne peut pas afficher la page Web».


1
2017-11-21 19:58