У меня есть сервер с Windows Server 2008 R2.
На сервере правильно настроены ключи реестра, чтобы разрешить использование TLS 1.2 и запретить использование TLS 1.1 или более ранних версий (и машина была перезапущена и имеетприменяются все обновления Windows)
например, для TLS 1.1 (и аналогично для более ранних версий) HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SecurityProviders \ SCHANNEL \ Protocols \ TLS 1.1 \ Client DisabledByDefault == 1 Enabled = 0
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SecurityProviders \ SCHANNEL \ Protocols \ TLS 1.1 \ Server DisabledByDefault == 1 Enabled = 0
, например, для TLS 1.2 HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControls \\\\\\\\\\\\\\\\\\ \ \ \ \ \Протоколы \ TLS 1.2 \ Client DisabledByDefault == 0 Включено = 1
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SecurityProviders \ SCHANNEL \ Protocols \ TLS 1.2 \ Сервер отключен =ByDefault == 0 Включено = 1
* 1012Кроме того, не уверен, что они необходимы, но у меня есть
HKEY_LOCAL_MACHINE \ ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ \ Microsoft \ Windows \ CurrentVersion \ Internet Settings \ WinHttp DefaultSecureProtocols = 0x00000800
HKEY_LOCAL_MACHINE \ SOFTWARE \ Wow6432Node \ Microsoft \ Windows \ CurrentVersion \ Параметры Интернета \ Интернет-настройки * WinHttp 1010 * * 800 * * * * * *запуск на целевых устройствах .NET 4.7
На веб-сайте есть следующий код при запуске приложения: Global.aspx
System.Net.ServicePointManager.SecurityProtocol = SecurityProtocolType.Tls12;
(Я знаю, что указание версии TLS несовместимо с пересылкой)
Я могу успешно подключиться к веб-сайту с TLS 1.2
Я не могу подключиться к веб-сайту с использованием TLS 1.0 или более ранней версии.Таким образом, настройки реестра, которые нужно отключить, похоже, сработали.
Однако я могу подключиться к веб-сайту с использованием TLS 1.1, несмотря на то, что у меня есть, как мне кажется, правильная информация о реестре.Я подтвердил это с помощью
- Изменяя Firefox на сервере, чтобы он использовал только TLS 1.1, и проверяя, что он определенно использует это, посетив https://www.ssllabs.com/ssltest/viewMyClient.html
- Изменение Firefox на моей локальной машине наиспользуйте только TLS 1.1 и убедитесь, что он определенно используется, посетив https://www.ssllabs.com/ssltest/viewMyClient.html
. Я также могу увидеть, какие версии TLS поддерживаются сайтом с https://www.ssllabs.com/ssltest/ (он говорит да против 1.2 и 1.1и не против всего остального)
Нам нужно отключить TLS 1.1 для конкретного клиента (мы знаем, что изменения сервера влияют на все веб-сайты).Так что еще мне нужно сделать, чтобы отключить TLS 1.1?