Quelle est la différence entre les clés de registre DisabledByDefault et Enabled SSL / TLS sous Microsoft Windows?

Dans le SCHANNEL_CRED structure c'est-à-dire passé à AcquireCredentialsHandle dans le cadre de la configuration d'un canal sécurisé , vous pouvez éventuellement sélectionner manuellement les protocoles à prendre en charge, dans le grbitEnabledProtocols champ bitmask.

Ainsi, Enabled régit les protocoles que vous pouvez activer ici tandis que DisabledByDefault spécifie si le protocole est activé si vous omettez ce champ (c'est-à-dire, laissez-le comme 0).

• L'article Gestion des protocoles SSL/TLS et des suites de chiffrement pour AD FS | Microsoft Docs recommande de définir DisabledByDefault sur 1 pour les protocoles désactivés également, en plus de définir Enabled sur 0. Donc il semble que DisabledByDefault soit utilisé sans condition pour générer automatiquement la valeur de ce champ s'il est omis.

La note du champ indique qu'il n'est pas recommandé de l'utiliser dans le nouveau code. Ces deux valeurs de registre sont donc presque redondantes:

Pour les nouveaux développements, les applications doivent mettre grbitEnabledProtocols à zéro et utiliser les versions de protocole activées par défaut sur le système.

Ce membre est utilisé uniquement par le package de sécurité du fournisseur de protocole de sécurité unifié Microsoft.

Les paramètres de registre système global ont priorité sur cette valeur. Par exemple, si SSL3 est désactivé dans le registre, il ne peut pas être activé à l'aide de ce membre.

On ne sait pas ce qui se passe si vous essayez d'utiliser un protocole non activé. A en juger par le dernier paragraphe et n manque de tout code d'erreur AcquireCredentialsHandle pertinent pour ce cas , je suppose qu'il est probablement ignoré.