web-dev-qa-db-fra.com

Comment activer TLS 1.1, 1.2 dans IIS 7.5

Nous voulons prendre en charge les navigateurs Web utilisant TLS 1.1 et 1.2, qui a apparemment été implémenté par Microsoft, mais est désactivé par défaut.

J'ai donc cherché sur Google et découvert quelques pages que tout le monde semble suivre:

http://support.Microsoft.com/kb/2450

https://www.derekseaman.com/2010/06/enable-tls-12-aes-256-and-sha-256-in.html

Toutefois! Cela ne semble pas fonctionner pour moi. J'ai défini les deux vaules DWORD pour DisabledByDefault et Enabled pour TLS 1.1 et 1.2. Je peux confirmer que mon client tente de communiquer avec TLS 1.2, mais le serveur ne répond qu'avec 1.0. J'ai redémarré IIS, mais cela n'a pas changé la situation.

Microsoft souligne: "AVERTISSEMENT: la valeur DisabledByDefault dans les clés de Registre sous la clé Protocoles n'a pas priorité sur la valeur grbitEnabledProtocols qui est définie dans la structure SCHANNEL_CRED qui contient les données pour une information d'identification Schannel."

Eh bien, c'est très vague pour moi. Je ne trouve nulle part où SCHANNEL_CRED est défini ou défini, tout ce que je peux déterminer c'est une structure définie dans une bibliothèque Microsoft. C'est ma seule supposition pour savoir pourquoi cela ne fonctionne pas, mais je ne trouve pas suffisamment d'informations à ce sujet pour déterminer si c'est le vrai problème.

29
Sam Rueby

Redémarrez. Les modifications apportées aux paramètres Schannel ne prennent effet qu'au redémarrage du système.

50
Shane Madden

Le moyen le plus simple d'apporter des modifications aux protocoles et chiffrements Microsoft SChannel (y compris la commande de chiffrement) est d'utiliser IIS Crypto qui est un outil entièrement gratuit qui peut être téléchargé sans aucune sorte de conditions d'enregistrement gênantes.

L'outil manipule les clés de registre sous les couvertures, mais il le fait de manière contrôlée, éprouvée et sûre. Nous l'utilisons régulièrement.

Il convient également de noter qu'il peut aider dans les scénarios d'automatisation car il dispose d'une version en ligne de commande en plus d'une version GUI.

Il y a aussi un blog qui explique certains des changements et pourquoi ils ont été apportés. L'outil a tendance à être tenu à jour lorsque des problèmes SSL surviennent.

11
CarlR

L'activation de TLS 1.1 et 1.2 nécessite un redémarrage. La désactivation de RC4 et DH se fait directement sans redémarrer le serveur ou les services.

Si je me souviens bien, la désactivation de SSLv2 et SSLv3 a également été instantanément efficace.

0
user3193469