Queremos admitir navegadores web que utilicen TLS 1.1 y 1.2, que aparentemente ha sido implementado por Microsoft, pero está desactivado de manera predeterminada.
Así que busqué en Google y descubrí algunas páginas que todo el mundo parece estar siguiendo:
http://support.microsoft.com/kb/245030
https://www.derekseaman.com/2010/06/enable-tls-12-aes-256-and-sha-256-in.html
¡Sin embargo! No parece estar funcionando para mí. He configurado ambos valores DWORD para DisabledByDefault y Enabled para TLS 1.1 y 1.2. Puedo confirmar que mi cliente está intentando comunicarse con TLS 1.2, pero el servidor solo responde con 1.0. He reiniciado IIS, pero no cambió la situación.
Microsoft señala: "ADVERTENCIA: El valor DisabledByDefault en las claves del registro bajo la clave Protocolos no tiene prioridad sobre el valor grbitEnabledProtocols que se define en la estructura SCHANNEL_CRED que contiene los datos para una credencial de Schannel".
Bueno, eso es muy vago para mí. No puedo encontrar ningún lugar donde SCHANNEL_CRED esté definido o configurado, todo lo que puedo determinar es una estructura definida en una biblioteca de Microsoft. Esa es mi única suposición de por qué esto no funciona, sin embargo, no puedo encontrar suficiente información para determinar si es el verdadero problema.
fuente
Respuestas:
Reiniciar. Los cambios en la configuración de Schannel no surten efecto hasta que se reinicia el sistema.
fuente
La forma más fácil de realizar cambios en los protocolos y cifrados de SChannel de Microsoft (incluido el pedido de cifrado) es usar IIS Crypto, que es una herramienta completamente gratuita que se puede descargar sin ningún tipo de requisitos de registro molestos.
La herramienta manipula las claves de registro debajo de las cubiertas, pero lo hace de forma controlada, probada y segura. Lo usamos regularmente.
También vale la pena señalar que puede ayudar en escenarios de automatización, ya que tiene una versión de línea de comandos además de una versión GUI.
También hay un blog que analiza algunos de los cambios y por qué se han realizado. La herramienta tiende a mantenerse actualizada cuando surgen problemas de SSL.
fuente
Habilitar TLS 1.1 y 1.2 requiere un reinicio. Deshabilitar RC4 y DH es directamente sin reiniciar el servidor o los servicios.
Si no recuerdo mal, deshabilitar SSLv2 y SSLv3 también fue efectivo al instante.
fuente
https://technet.microsoft.com/en-us/library/dn786418.aspx
Para habilitar el protocolo, cambie el valor DWORD a 0xffffffff.
fuente