Änderungen in Windows 11 mit Auswirkungen auf TLS 1.3 und Client-Zertifikatsanforderungen
Aktuelle Aussagen von Microsoft-Mitarbeiter Matt Hamrick heben wesentliche Anpassungen bei der Implementierung von Transport Layer Security (TLS) 1.3 in Windows 11 hervor, insbesondere bei der Verwaltung von Client-Zertifikatsanfragen durch Internet Information Services (IIS) und IIS Express. Ein zentrales Problem ist dabei die fehlende Unterstützung für einen Prozess namens „Neuverhandlung“ in TLS 1.3. Microsoft hat diese Änderung eingeführt, um Sicherheit und Effizienz zu verbessern. Sie soll dazu beitragen, die Vertraulichkeit bei der Client-Authentifizierung zu wahren und gleichzeitig Roundtrips zu minimieren sowie den CPU-Overhead zu reduzieren.
Der Kompromiss zwischen Sicherheit und Kompatibilität
Diese Verschiebung deutet darauf hin, dass Microsoft zwar versucht, die Sicherheit und Leistung zu verbessern, in der Folge jedoch gewisse Kompatibilitätsprobleme aufgetreten sind, insbesondere bei bestimmten Funktionen innerhalb des Betriebssystems.
Grundlegendes zur TLS-Neuverhandlung
Zum Kontext: Die TLS-Neuverhandlung war eine Funktion von TLS 1.2 und früheren Protokollen. Sie ermöglichte es einem Server, innerhalb einer bereits verschlüsselten Sitzung einen zusätzlichen Handshake zu initiieren, um ein Client-Zertifikat anzufordern. Unter Windows wird dieser Neuverhandlungsprozess durch den HTTP-Stack (bezeichnet als http.sys) und das Schannel-Sicherheitspaket erleichtert, wodurch IIS oder IIS Express erst nach Abschluss des ersten Handshakes die Kontrolle übernehmen können.
Verhaltensänderungen in den neuesten Windows-Versionen
Bei Installationen mit Versionen vor Windows 11 24H2 oder Windows Server 2022 http.syswurden Verbindungen abgebrochen, wenn ein Client-Zertifikat benötigt wurde, das jedoch nicht in der Ersteinrichtung enthalten war, insbesondere wenn der Client keine Post-Handshake-Authentifizierung unterstützt. Ab Windows 11 24H2 und Windows Server 2025 http.syswird jedoch der Fehler „Nicht unterstützt“ zurückgegeben, wenn nach dem Handshake ein Client-Zertifikat angefordert wird. Dieser Fehler löst eine HTTP 500-Antwort von IIS mit dem Fehlercode 0x80070032 aus, was „ERROR_NOT_SUPPORTED“ bedeutet.
Einschränkungen der Post-Handshake-Authentifizierung
Microsoft hat klargestellt, dass TLS 1.3 Neuverhandlungen verbietet. Obwohl das Protokoll eine Alternative namens Post-Handshake-Client-Authentifizierung einführt, haben die meisten Benutzer, einschließlich der gängigen Webbrowser, diese noch nicht implementiert. Diese Einschränkung bedeutet, dass Client-Zertifikate während des ersten Handshake-Prozesses angefordert werden müssen; andernfalls können sie später in der Sitzung nicht mehr angefordert werden. Aufgrund der Architektur von IIS und IIS Express, die nach http.sysAbschluss des Handshakes operieren, ist eine Vorkonfiguration erforderlich, um sicherzustellen, dass Client-Zertifikate von Anfang an angefordert werden.
Zukünftige Fehlerbehebungen und aktueller Status
Bis Ende August 2025 hat Microsoft noch keine Lösung für IIS Express vorgeschlagen. Hamrick äußerte daher seine Unsicherheit darüber, ob jemals ein Fix veröffentlicht wird. Er drückte seine Unentschlossenheit mit den Worten aus: „Ich bin mir ehrlich gesagt nicht sicher, ob es einen Fix geben wird und wie dieser aussehen wird, wenn es einen gibt.“
Informationen zu Internetinformationsdiensten (IIS)
Zum Kontext: Internetinformationsdienste (IIS) ist der robuste und erweiterbare Webserver von Microsoft, der für das Hosten von Websites und Anwendungen unter Windows-Betriebssystemen entwickelt wurde. IIS IISnutzt den Windows- HTTP.sysKerneltreiber zur Verwaltung der TLS/SSL-Verschlüsselung. Bei der Konfiguration einer HTTPS-Bindung zeichnet IIS diese Bindung auf applicationHost.configund nutzt sie HTTP.sysfür die TLS-Aushandlung mit Clients. Anschließend werden entschlüsselte HTTP-Anfragen zur weiteren Verarbeitung an IIS weitergeleitet.
Was ist IIS Express?
Im Gegensatz dazu ist IIS Express eine schlanke, eigenständige Version von IIS (ab Version 7), die für Entwicklungs- und Testzwecke optimiert ist. Im Gegensatz zum vollständigen IIS, der den Windows Process Activation Service zur Verwaltung von Webanwendungen benötigt und für den Produktionseinsatz vorgesehen ist, kann IIS Express für verschiedene Funktionen ohne Administratorrechte ausgeführt werden und bietet vereinfachte Konfigurationen.
Ausführlichere Informationen finden Sie im offiziellen Blogbeitrag hier in der Tech Community von Microsoft.
Ähnliche Artikel:
Call of Duty: Black Ops 7 – Launch-Karten und neue Wall Jumps in Omnimovement
17:14
Warum ich mich für das Patchen von Windows 10 entschieden habe, anstatt auf Windows 11 zu aktualisieren
17:11
Der abgesagte Neustart von Perfect Dark durch Xbox sollte das Geheimagenten-Genre wiederbeleben
17:05
Schreibe einen Kommentar