Comment activer TLS 1.1, 1.2 dans IIS 7.5

26

Nous voulons prendre en charge les navigateurs Web utilisant TLS 1.1 et 1.2, qui a apparemment été implémenté par Microsoft, mais est désactivé par défaut.

J'ai donc cherché sur Google et découvert quelques pages que tout le monde semble suivre:

http://support.microsoft.com/kb/245030

https://www.derekseaman.com/2010/06/enable-tls-12-aes-256-and-sha-256-in.html

Toutefois! Cela ne semble pas fonctionner pour moi. J'ai défini les deux vaules DWORD pour DisabledByDefault et Enabled pour TLS 1.1 et 1.2. Je peux confirmer que mon client tente de communiquer avec TLS 1.2, mais le serveur ne répond qu'avec 1.0. J'ai redémarré IIS, mais cela n'a pas changé la situation.

Microsoft souligne: «AVERTISSEMENT: la valeur DisabledByDefault dans les clés de Registre sous la clé Protocoles n'a pas priorité sur la valeur grbitEnabledProtocols qui est définie dans la structure SCHANNEL_CRED qui contient les données pour une information d'identification Schannel.»

Eh bien, c'est très vague pour moi. Je ne trouve nulle part où SCHANNEL_CRED est défini ou défini, tout ce que je peux déterminer c'est une structure définie dans une bibliothèque Microsoft. C'est ma seule supposition pour savoir pourquoi cela ne fonctionne pas, mais je ne trouve pas suffisamment d'informations à ce sujet pour déterminer si c'est le vrai problème.

Sam Rueby
la source
2
Je déteste demander l'évidence, mais avez-vous redémarré le serveur après avoir changé le registre?
Coding Gorilla
Hmmm. Dans IIS Manager, j'ai cliqué sur "Redémarrer" sous "Actions".
Sam Rueby
Comme indiqué @ShaneMadden, ces modifications sont plus profondes que IIS, vous devez donc redémarrer le système pour vous assurer que toutes les modifications sont appliquées.
Coding Gorilla

Réponses:

48

Redémarrez. Les modifications apportées aux paramètres Schannel ne prennent effet qu'au redémarrage du système.

Shane Madden
la source
7

Le moyen le plus simple d'apporter des modifications aux protocoles et chiffrements Microsoft SChannel (y compris la commande de chiffrement) consiste à utiliser IIS Crypto qui est un outil entièrement gratuit qui peut être téléchargé sans aucune sorte de conditions d'enregistrement gênantes.

L'outil manipule les clés de registre sous les couvertures, mais il le fait de manière contrôlée, éprouvée et sûre. Nous l'utilisons régulièrement.

Il convient également de noter qu'il peut aider dans les scénarios d'automatisation car il dispose d'une version en ligne de commande en plus d'une version GUI.

Il y a aussi un blog qui discute de certains des changements et pourquoi ils ont été apportés. L'outil a tendance à être tenu à jour lorsque des problèmes SSL surviennent.

CarlR
la source
0

L'activation de TLS 1.1 et 1.2 nécessite un redémarrage. La désactivation de RC4 et DH se fait directement sans redémarrer le serveur ou les services.

Si je me souviens bien, la désactivation de SSLv2 et SSLv3 a également été instantanément efficace.

user3193469
la source
-1

https://technet.microsoft.com/en-us/library/dn786418.aspx

Pour activer le protocole, remplacez la valeur DWORD par 0xffffffff.

VasekB
la source
pour activer le protocole est 0xffffffff ou 1?
Ravindran Keshavan
Ce lien sur cette réponse indique que la valeur doit être 1, il ne mentionne pas fff ... n'importe où
Todd