Windows 11 中影响 TLS 1.3 和客户端证书请求的更改
微软员工 Matt Hamrick 最近的声明强调了 Windows 11 对传输层安全协议 (TLS) 1.3 实施的重大调整,尤其是在互联网信息服务 (IIS) 和 IIS Express 管理客户端证书请求的方式上。TLS 1.3 中缺乏对“重新协商”进程的支持是这一调整的核心问题。微软引入此项修改是为了增强安全性和效率,并指出这将有助于维护客户端身份验证的机密性,同时最大限度地减少往返次数并降低 CPU 开销。
安全性和兼容性之间的权衡
这种转变表明,虽然微软旨在加强安全性和性能,但随之而来的是某些兼容性问题,特别是操作系统内的特定功能。
了解 TLS 重新协商
具体来说,TLS 重新协商是 TLS 1.2 及更早版本协议中提供的一项功能,允许服务器在已加密的会话中发起额外的握手,以请求客户端证书。在 Windows 中,此重新协商过程由 HTTP 堆栈(称为http.sys)和 Schannel 安全包促成,这使得 IIS 或 IIS Express 仅在初始握手完成后才能接管控制权。
最新 Windows 版本中的行为变化
对于运行 Windows 11 24H2 或 Windows Server 2022 之前版本的安装,http.sys如果需要客户端证书但初始设置中未包含该证书,尤其是在客户端不支持握手后身份验证的情况下,连接将终止。但是,从 Windows 11 24H2 和 Windows Server 2025 开始,http.sys在握手后请求客户端证书时将返回“不支持”错误。此错误会触发 IIS 以 HTTP 500 状态和错误代码 0x80070032 进行响应,表示“ERROR_NOT_SUPPORTED”。
握手后身份验证的局限性
微软已明确 TLS 1.3 禁止重新协商。尽管该协议引入了一种称为“握手后客户端身份验证”的替代方案,但大多数用户(包括主流 Web 浏览器)尚未实现该方案。此限制意味着必须在初始握手过程中请求客户端证书;否则,将无法在会话的后续阶段请求证书。由于 IIS 和 IIS Express 的架构在http.sys握手完成后运行,因此需要提前配置以确保在初始阶段请求客户端证书。
未来修复和当前状态
截至2025年8月底,微软尚未针对IIS Express提出解决方案,这导致Hamrick表示不确定是否会发布修复程序。他表达了自己的犹豫,并表示:“说实话,我不确定是否会有修复程序,以及如果有的话会是什么样子。”
关于 Internet 信息服务 (IIS)
具体来说,Internet Information Services 是 Microsoft 推出的一款功能强大且可扩展的 Web 服务器,旨在用于在 Windows 操作系统上托管网站和应用程序。它IIS依赖于 WindowsHTTP.sys内核驱动程序来管理 TLS/SSL 加密。配置 HTTPS 绑定时,IIS 会记录此绑定,applicationHost.config并利用它HTTP.sys来处理与客户端的 TLS 协商,然后将解密的 HTTP 请求传递给 IIS 进行进一步处理。
什么是 IIS Express?
相比之下,IIS Express 是 IIS 的轻量级、独立版本(从版本 7 开始),针对开发和测试目的进行了优化。与需要 Windows 进程激活服务 (Windows Process Activation Service) 来管理 Web 应用程序且仅供生产使用的完整版 IIS 不同,IIS Express 无需管理员权限即可运行各种功能,并简化了配置。
欲了解更多详细信息,您可以访问Microsoft 技术社区的官方博客文章。
发表回复