Comments 27
Интересно читать такие статьи — когда в продакшене больше сталкиваешься с обратной необходимостью.
Суровое легаси не работает с новомодными поделками а обновление стоит таких денег что ....
Теоретически сейчас при установке как раз эти протоколы выключены. А потом выясняется, что какое-то чудо, без которого жить никак нельзя, не умеет работать на свежем TLS.
Отключение TLS 1.0 приводит к полной неработоспособности связки ADFS - WAP, при этом отваливается оно не сразу, а через некоторое время. Диагностируется проблема не самым очевидным путём. Актуально для всех версий ADFS, включая последнюю. Уже не помню, у кого из них должна остаться поддержка TLS 1.0 клиентом, а у кого сервером. Но суть в том, что это не стороннее легаси, а родная роль. И вот такая оказия...
Больнее всего наступать на детские грабли. Просто для информации, может кому поможет.
Тут вы немного не правы. Столкнулся с такой же проблемой, надо было взять вайршарк в руки. WAP Windows Server 2019 по дефолту выключены TLS 1.0 и TLS 1.1. А работает TLS 1.2. Решение оказалось чуть другое:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp\EnableDefaultHttp2 Value: 0
Написать так много слов, и не упомянуть утилиту IISScrypto - как минимум странно.
Упомянуть все "костыли", но ни слова о наиболее очевидном пути - через GPO... да что Вы знаете о странностях?
Справедливости ради, через GPO preferences то, что в статье описано, остается только завернуть.
Родными шаблонами политик, насколько я помню, отключается только поддержка клиента TLS, но не сервера.
Update: Возможно, такие шаблоны есть в Security Compliance Toolkit (SCT) - прямой линк на скачивание
А даже последняя версия IIS Crypto не знает про существование TLS 1.3, но я же не придираюсь ;)
не знает про существование TLS 1.3
Эээ... у меня глюки?
Глюк
Или у меня... а какая ОС? Это на Win10 x64:
Windows server 2022 - есть 1.3
Windows server 2016, 2019 со всеми обновлениями - нет 1.3
Если верить мелкомягким, то его там и нет. Правда, об этом забыли сообщить тому же ишаку, который позволяет включить TLS 1.3 в настройках по крайней мере на клиентской десятке...
поддержка внутри браузера не равна поддержке на стороне SChannel
Гораздо веселее с 2019 MS Exchange, если его запустить на 2022 сервере. Ибо вин-сервер про TLS 1.3 знает и использует, а почтовый — нет. В результате — сплошные ошибки. Всё — последних версий на текущий момент.
Хм... разве hello формирует сам почтовик?
Был сильно удивлён, когда MS добавили Server 2022 в поддерживаемые ОС для Exchange 2019. Там глюк на глюке в такой связке.
Но лишь в CU12. Изначально была рекомендация ставить вообще на 16й сервер, потом подтянули под 2019, сейчас и 2022й.
Тут в работу вступает другой момент - все клиенты будут работать всё одно с tls 1.2, поскольку 1.3 только в Win11 и, наверное, последний 22H2 Win10.
Пока самая рабочая схема Server 2019 для exchange, ad, adfs, wap и клиенты начиная с windows 7.
На современных ОС не рекомендует его использовать и вообще лазить туда руками, но даже на устаревшей Windows Server 2012 R2 достаточно одного параметра для включения современных шифров:
reg add "HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\KeyExchangeAlgorithms\Diffie-Hellman" /v ServerMinKeyBitLength /t REG_DWORD /d 2048 /f
А IISCrypto с рекомендованным профилем отключит оба шифра с FS, которые понимает эта ОС.
Но это же не три способа, а один и тот же
работает не трог (с)
а если появится какая нибудь острая необходимость срочно ето дело замутить, мемкрософт выкатит соответствующее обновление
всё крайне странно и непонятно. Если эти TLSы-такие старые и неподдерживаемые, почему бы их не отключить тому же Майкрософту? В таблице поддержки TLS написано, что даже в Win11Server2022 включены все TLS - и 1.0, и 1.1, 2. По счастливой случайности они частично выключены в winserver2008r2
Как и зачем отключать TLS 1.0 и TLS 1.1 в Windows Server