Pet*_*ter 17 iis-7.5 windows-server-2008-r2
Windows Server 2008 R2 似乎支持 TLS 1.1 和 1.2,但默认情况下它们是禁用的。
为什么默认情况下禁用它们?
他们有什么缺点吗?
Hop*_*00b 11
Server 2008 R2/Windows 7 为 Windows 引入了 TLS 1.1 和 TLS 1.2 支持,并在使 TLS 1.0 易受攻击的攻击之前发布,因此可能只是 TLS 1.0 是默认设置的问题,因为它是使用最广泛的 TLS 版本在 Server 2008 R2 发布时(2009 年 7 月)。
不确定您如何确定,或找出“为什么”做出设计决策,但鉴于 Windows 7 和 Server 2008 R2 将该功能引入 Windows 系列,并且 Windows Server 2012 默认使用 TLS 1.2,它似乎暗示这是当时“做事的方式”的问题。TLS 1.0 仍然“足够好”,因此它是默认设置,但支持 TLS 1.1 和 1.2 以实现前向支持和前向可操作性。
Microsoft 员工的这篇技术网博客建议启用较新版本的 TLS,并指出(截至 2011 年 10 月):
在 Web 服务器中,IIS 7.5 是唯一支持 TLS 1.1 和 TLS 1.2 的。截至目前,Apache 不支持这些协议,因为 OPENSSL 不包括对它们的支持。希望他们能赶上行业的新标准。
这进一步支持了较新的 TLS 版本在 Server 2008 R2 中默认未启用的想法,原因很简单,因为它们较新并且当时没有得到广泛支持或使用 - Apache 和 OpenSSL 甚至还不支持它们,更不用说使用它们作为默认值。
有关如何启用和禁用各种 SSL/TLS 版本的详细信息,请参见Microsoft 知识库文章编号 245030,标题为How to restrict the use of certain cryptographic algorithms and protocols in Schannel.dll。显然,Client键控制Internet Explorer,Server键覆盖IIS。
| 归档时间: |
|
| 查看次数: |
20542 次 |
| 最近记录: |