Conseguimos obter o TLS 1.2 e 1.2 funcionando no Server 2008 SP2.
Temos um aplicativo Win32 sendo usado no Server 2008 SP2 por vários clientes. O aplicativo precisa falar com empresas de processamento de cartão de crédito que suportam apenas o TLS 1.2 a partir de abril de 2018.
Aqui está o procedimento que seguimos:
-
Instale o KB4019276 do link
-
Crie chaves de registro para o TLS 1.1 e o TLS 1.2.
Essas chaves são criadas em HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SecurityProviders \ SCHANNEL \ Protocolos conforme documentado aqui link
-
Habilite o TLS 1.1 e 1.2 no Internet Explorer 9 conforme documentado aqui link
InstruçõesdetalhadasdaEtapa2acima,seaURLestiverinativa.
- Navegueatéaseguintechavederegistro:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocolos
CliquecomobotãodireitodomousenapastaProtocoloseselecioneNovoe,emseguida,Chavenomenususpenso.Istoirácriarumanovapasta.RenomeieestapastaparaoTLS1.2.
CliquecomobotãodireitonachaveTLS1.2eadicioneduasnovaschavesabaixodela.
Renomeieasduasnovaschavescomo:ClienteServidor
CliquecomobotãodireitodomousenachavedoClienteeselecioneNovoe,emseguida,ValorDWORD(32bits)nalistasuspensa.
RenomeieoDWORDparaDisabledByDefault.
CliquecomobotãodireitodomousenonomeDisabledByDefaulteselecioneModificar...nomenususpenso.
VerifiqueseocampoDadosdovalorestádefinidocomo0eaBaseéhexadecimal.CliqueemOK.
CrieoutraDWORDparaachavedocliente,comofeznaetapa7.
RenomeieestasegundaDWORDparaAtivada.
CliquecomobotãodireitononomeAtivadoeselecioneModificar...nomenususpenso.
12VerifiqueseocampoDadosdovalorestádefinidocomo1eaBaseéhexadecimal.CliqueemOK.
Repita as etapas 5 a 12 para a chave do servidor (criando duas DWORDs, DisabledByDefault e Enabled e seus valores abaixo da chave do servidor).
Reinicialize o servidor.
Instruções detalhadas da Etapa 3 acima, se a URL estiver inativa.
- Após instalar o KB4019276, inicie o regedit, preferencialmente como Administrador, e navegue para
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ InternetExplorer \ Opções Avançadas \ CRYPTO \ TLS1.1
-
Exclua a subchave "OSVersion"="3.6.1.0.0")
-
Navegue até HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ InternetExplorer \ Opções avançadas \ CRYPTO \ TLS1.2
-
Novamente, exclua a subchave "OSVersion"="3.6.1.0.0". Saia do Editor do Registro.
-
Inicie o IE9; Ferramentas - > Opções da Internet - > Guia Avançado - > Desloque-se até "Segurança":
-
Antes do KB4019276 e das manipulações do registro, apenas o "Use TLS 1.0" estava disponível no Vista; você já deve ter desmarcado as opções mais antigas "Use SSL 2.0 / 3.0", para evitar ser alvo de ataques "POODLE"; desmarque "Usar TLS 1.0" (opcionalmente também "Usar TLS 1.1") e marque "Usar TLS 1.2".
-
Clique em Aplicar, em OK e saia do IE9.
-
Ao reiniciar o IE9, você verá que agora pode visitar todos os sites que antes não carregavam devido a protocolos TLS não suportados: