Windows Server 2008 R2 tampaknya mendukung TLS 1.1 dan 1.2 tetapi mereka dinonaktifkan secara default.
Mengapa mereka dinonaktifkan secara default?
Apakah mereka memiliki kekurangan?
Windows Server 2008 R2 tampaknya mendukung TLS 1.1 dan 1.2 tetapi mereka dinonaktifkan secara default.
Mengapa mereka dinonaktifkan secara default?
Apakah mereka memiliki kekurangan?
Server 2008 R2 / Windows 7 memperkenalkan dukungan TLS 1.1 dan TLS 1.2 untuk Windows, dan dirilis sebelum serangan yang membuat TLS 1.0 rentan, jadi mungkin hanya masalah TLS 1.0 sebagai default karena itu adalah versi TLS yang paling banyak digunakan pada saat Server 2008 R2 dirilis (Juli, 2009).
Tidak yakin bagaimana Anda akan tahu pasti, atau mencari tahu "mengapa" keputusan desain dibuat, tetapi mengingat bahwa Windows 7 dan Server 2008 R2 memperkenalkan fitur ini ke keluarga Windows, dan Windows Server 2012 menggunakan TLS 1.2 secara default, itu tampaknya menyarankan itu adalah masalah "cara melakukan sesuatu" pada saat itu. TLS 1.0 masih "cukup baik," jadi itu adalah default, tetapi TLS 1.1 dan 1.2 didukung untuk forward-support dan forward-operability.
Blog teknis ini dari karyawan Microsoft merekomendasikan untuk mengaktifkan versi TLS yang lebih baru dan juga mencatat bahwa (per Oktober 2011):
Di antara server web lagi, IIS 7.5 adalah satu-satunya yang mendukung TLS 1.1 dan TLS 1.2. Sampai sekarang Apache tidak mendukung protokol ini karena OPENSSL tidak menyertakan dukungan untuk mereka. Mudah-mudahan, mereka akan mengejar standar baru industri.
Itu lebih lanjut mendukung gagasan bahwa versi TLS yang lebih baru tidak diaktifkan secara default di Server 2008 R2 karena alasan sederhana bahwa mereka lebih baru dan tidak didukung atau digunakan secara luas pada saat itu - Apache dan OpenSSL bahkan belum mendukungnya , apalagi gunakan sebagai default.
Detail tentang cara mengaktifkan dan menonaktifkan berbagai versi SSL / TLS dapat ditemukan di artikel Microsoft KB nomor 245030, berjudulHow to restrict the use of certain cryptographic algorithms and protocols in Schannel.dll
. Jelas, Client
tombol mengontrol Internet Explorer, dan Server
tombol tersebut mencakup IIS.
Saya sendiri bertanya-tanya ini ... mungkin hanya karena masalah kompatibilitas yang diketahui pada saat itu ... Saya menemukan entri blog MSDN ini (dari 24-Mar-2011):
Ini berbicara tentang beberapa server web "bertingkah" dalam cara mereka menanggapi permintaan protokol yang tidak didukung, yang kemudian menyebabkan klien tidak mundur ke protokol yang didukung, dengan hasil akhirnya adalah pengguna tidak dapat mengakses situs web.
Mengutip bagian dari entri blog itu di sini:
Server tidak seharusnya bertingkah seperti ini - melainkan diharapkan untuk hanya membalas dengan menggunakan versi protokol HTTPS terbaru yang didukungnya (mis. "3.1" alias TLS 1.0). Sekarang, seandainya server dengan anggun menutup koneksi pada titik ini, itu akan menjadi oke - kode dalam WinINET akan mundur dan coba lagi koneksi yang hanya menawarkan TLS 1.0. WinINET menyertakan kode sedemikian rupa sehingga TLS1.1 & 1.2 mundur ke TLS1.0, kemudian mundur ke SSL3 (jika diaktifkan) kemudian SSL2 (jika diaktifkan). Kelemahan untuk mundur adalah kinerja — perjalanan bolak-balik tambahan yang diperlukan untuk jabat tangan versi baru yang lebih rendah biasanya akan menghasilkan penalti sebesar puluhan atau ratusan milidetik.
Namun, server ini menggunakan TCP / IP RST untuk membatalkan koneksi, yang menonaktifkan kode cadangan di WinINET dan menyebabkan seluruh urutan koneksi ditinggalkan, meninggalkan pengguna dengan pesan kesalahan "Internet Explorer tidak dapat menampilkan halaman web".