Ativar TLS 1.1 e 1.2 no Windows Server 2008 SP2

6

É possível habilitar o TLS 1.1 e 1.2 no Windows Server 2008 SP2 (e não no R2) executando o IIS7?

Eu tentei alterar o registro e usar o IIS Crypto para ativá-lo, mas parece que não está funcionando.

Se não for possível, então como eu poderia mitigar os ataques da Besta?

    
por officeboi101 22.04.2014 / 18:36

2 respostas

4

A Microsoft lançou uma atualização para o Windows 2008 em 2017, que adiciona suporte para o TLS 1.1 e 1.2 Veja a resposta do @Chris Vesper para os detalhes.

Original:

O Windows 2008 não suporta o TLS 1.1 e 1.2. Você pode atenuar a fera usando um pacote de criptografia diferente (não envolvendo RC4)

Dê uma olhada em security.stackexchange.com: link

    
por 22.04.2014 / 18:41
1

Conseguimos obter o TLS 1.2 e 1.2 funcionando no Server 2008 SP2.

Temos um aplicativo Win32 sendo usado no Server 2008 SP2 por vários clientes. O aplicativo precisa falar com empresas de processamento de cartão de crédito que suportam apenas o TLS 1.2 a partir de abril de 2018.

Aqui está o procedimento que seguimos:

  1. Instale o KB4019276 do link

  2. Crie chaves de registro para o TLS 1.1 e o TLS 1.2. Essas chaves são criadas em HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SecurityProviders \ SCHANNEL \ Protocolos conforme documentado aqui link

  3. Habilite o TLS 1.1 e 1.2 no Internet Explorer 9 conforme documentado aqui link

InstruçõesdetalhadasdaEtapa2acima,seaURLestiverinativa.

  1. Navegueatéaseguintechavederegistro:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocolos
  2. CliquecomobotãodireitodomousenapastaProtocoloseselecioneNovoe,emseguida,Chavenomenususpenso.Istoirácriarumanovapasta.RenomeieestapastaparaoTLS1.2.

  3. CliquecomobotãodireitonachaveTLS1.2eadicioneduasnovaschavesabaixodela.

  4. Renomeieasduasnovaschavescomo:ClienteServidor

  5. CliquecomobotãodireitodomousenachavedoClienteeselecioneNovoe,emseguida,ValorDWORD(32bits)nalistasuspensa.

  6. RenomeieoDWORDparaDisabledByDefault.

  7. CliquecomobotãodireitodomousenonomeDisabledByDefaulteselecioneModificar...nomenususpenso.

  8. VerifiqueseocampoDadosdovalorestádefinidocomo0eaBaseéhexadecimal.CliqueemOK.

  9. CrieoutraDWORDparaachavedocliente,comofeznaetapa7.

  10. RenomeieestasegundaDWORDparaAtivada.

  11. CliquecomobotãodireitononomeAtivadoeselecioneModificar...nomenususpenso.

12VerifiqueseocampoDadosdovalorestádefinidocomo1eaBaseéhexadecimal.CliqueemOK.

  • Repita as etapas 5 a 12 para a chave do servidor (criando duas DWORDs, DisabledByDefault e Enabled e seus valores abaixo da chave do servidor).

  • Reinicialize o servidor.

  • Instruções detalhadas da Etapa 3 acima, se a URL estiver inativa.

    1. Após instalar o KB4019276, inicie o regedit, preferencialmente como Administrador, e navegue para

    HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ InternetExplorer \ Opções Avançadas \ CRYPTO \ TLS1.1

    1. Exclua a subchave "OSVersion"="3.6.1.0.0")

    2. Navegue até HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ InternetExplorer \ Opções avançadas \ CRYPTO \ TLS1.2

    3. Novamente, exclua a subchave "OSVersion"="3.6.1.0.0". Saia do Editor do Registro.

    4. Inicie o IE9; Ferramentas - > Opções da Internet - > Guia Avançado - > Desloque-se até "Segurança":

    5. Antes do KB4019276 e das manipulações do registro, apenas o "Use TLS 1.0" estava disponível no Vista; você já deve ter desmarcado as opções mais antigas "Use SSL 2.0 / 3.0", para evitar ser alvo de ataques "POODLE"; desmarque "Usar TLS 1.0" (opcionalmente também "Usar TLS 1.1") e marque "Usar TLS 1.2".

    6. Clique em Aplicar, em OK e saia do IE9.

    7. Ao reiniciar o IE9, você verá que agora pode visitar todos os sites que antes não carregavam devido a protocolos TLS não suportados:

    por 20.04.2018 / 21:00