windows-server-2008-r2 – 在Windows Server 2008 R2上禁用TLS

Windows Server 2008 R2似乎支持TLS 1.1和1.2,但默认情况下禁用它们.

为什么他们默认禁用？

他们有任何缺点吗？

不知道你怎么知道,或者找出“为什么”做出设计决定,但鉴于Windows 7和Server 2008 R2将该功能引入Windows系列,Windows Server 2012默认使用TLS 1.2,似乎表明这是当时“事情已经完成的方式”的问题. TLS 1.0仍然“足够好”,因此它是默认值,但TLS 1.1和1.2支持前向支持和前向可操作性.

This technet blog from a Microsoft employee建议启用较新版本的TLS,并注意到(截至2011年10月)：

Among web servers again,IIS 7.5 is the only which supports TLS 1.1 and TLS 1.2. As of now Apache doesn’t support these protocols as OPENSSL doesn’t include support for them. Hopefully,they’ll catch up to the industries new standards.

这进一步支持了这样的想法,即在Server 2008 R2中默认没有启用更新的TLS版本,原因很简单,因为它们更新并且当时没有得到广泛支持或使用–Abache和OpenSSL甚至还没有支持它们,更不用说了将它们用作默认值.

有关如何启用和禁用各种SSL / TLS版本的详细信息,请参见Microsoft KB article number 245030,titled How to restrict the use of certain cryptographic algorithms and protocols in Schannel.dll.显然,客户端密钥控制Internet Explorer,服务器密钥覆盖IIS.

（编辑：ASP站长网）