Estamos criando um aplicativo ASP.NET MVC para implantação no Windows Server 2016 e no IIS. Nós executamos o servidor por meio da verificação SSL Labs e ele apresentou isso como um dos resultados:
This server is vulnerable to the Return Of Bleichenbacher's Oracle Threat (ROBOT) vulnerability. Grade will be set to F from March 2018.
Um remédio sugerido em sua página "Mais informações" era mudar para o TLS 1.3. No entanto, como o comentário deste post indica, 1.3 está no rascunho modo a partir do verão de 2017.
O TLS 1.3 está disponível para servidores Windows? Se não, existe uma linha do tempo para o lançamento?
Has TLS 1.3 become available for Windows servers? If not, is there a timeline for its release?
O TLS 1.3 ainda está em versão preliminar e não há previsão de data de lançamento a partir de agora. Pode ser este ano, pode ser no próximo ano.
Você pode querer examinar o Security Stack Exchange para obter dicas sobre correção (se necessário) para a vulnerabilidade indicada. Eu sugeriria verificar se o sistema está realmente vulnerável antes de seguir as etapas de correção.