是否有任何原因导致Windows Server 2008 R2禁用TLS 1.1和1.2?


17

Windows Server 2008 R2似乎支持TLS 1.1和1.2,但默认情况下它们被禁用。

为什么默认情况下禁用它们?

他们有什么缺点吗?

Answers:


11

Server 2008 R2 / Windows 7引入了对Windows的TLS 1.1和TLS 1.2支持,并在使TLS 1.0容易受到攻击的攻击之前发布,因此默认情况下可能只是TLS 1.0的问题,因为它是使用最广泛的TLS版本Server 2008 R2发行时(2009年7月)。

不知道您如何确定,还是确定做出设计决定的“原因”,但是鉴于Windows 7和Server 2008 R2在Windows家族中引入了该功能,并且Windows Server 2012默认使用TLS 1.2,因此似乎暗示当时是“事情的完成方式”问题。TLS 1.0仍然“足够好”,因此它是默认设置,但是支持TLS 1.1和1.2以实现正向支持和正向可操作性。

Microsoft员工此technet博客中建议启用TLS的较新版本,并指出(截至2011年10月):

在Web服务器中,IIS 7.5是唯一支持TLS 1.1和TLS 1.2的服务器。到目前为止,Apache不支持这些协议,因为OPENSSL不包括对它们的支持。希望他们能赶上行业的新标准。

这进一步支持了以下想法:在Server 2008 R2中默认不启用较新的TLS版本,原因很简单,原因是它们较新且当时未被广泛支持或使用-Apache和OpenSSL甚至还不支持它们。默认使用它们。

有关如何启用和禁用各种SSL / TLS版本的详细信息,请参见Microsoft知识库文章245030(标题为)How to restrict the use of certain cryptographic algorithms and protocols in Schannel.dll。显然,这些Client键控制Internet Explorer,并且这些Server键覆盖了IIS。


1

我本人对此感到纳闷...也许只是由于当时已知的兼容性问题...我找到了这个MSDN博客条目(来自2011年3月24日):

http://blogs.msdn.com/b/ieinternals/archive/2011/03/25/misbehaving-https-servers-impair-tls-1.1-and-tls-1.2.aspx

它讨论了某些Web服务器对响应不受支持的协议请求的方式“行为不当”,然后导致客户端无法回退到受支持的协议,最终结果是用户无法访问该网站。

在此处引用该博客条目的一部分:

不应以这种方式运行服务器-而是希望它使用其支持的最新HTTPS协议版本(例如“ 3.1”,也称为TLS 1.0)简单地进行回复。现在,如果服务器此时已正常关闭连接,它将没关系-WinINET中的代码将回退并重试仅提供TLS 1.0的连接。WinINET包括将TLS1.1和1.2回退到TLS1.0,然后回退到SSL3(如果启用),然后回退到SSL2(如果启用)的代码。回退的缺点是性能-新的较低版本的握手所需的额外往返通常会导致数十或数百毫秒的损失。

但是,此服务器使用TCP / IP RST终止连接,这将禁用WinINET中的后备代码并导致放弃整个连接序列,从而使用户出现“ Internet Explorer无法显示网页”错误消息。

By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.