Modifiche in Windows 11 che interessano TLS 1.3 e le richieste di certificati client
Le recenti dichiarazioni del dipendente Microsoft Matt Hamrick evidenziano modifiche significative nell’implementazione di Transport Layer Security (TLS) 1.3 in Windows 11, in particolare nel modo in cui Internet Information Services (IIS) e IIS Express gestiscono le richieste di certificati client. La mancanza di supporto per un processo chiamato “rinegoziazione” in TLS 1.3 è un problema centrale. Microsoft ha introdotto questa modifica per migliorare la sicurezza e l’efficienza, sottolineando che contribuirà a mantenere la riservatezza nell’autenticazione client, riducendo al contempo i round trip e il sovraccarico della CPU.
Il compromesso tra sicurezza e compatibilità
Questo cambiamento indica che, sebbene Microsoft miri a rafforzare la sicurezza e le prestazioni, di conseguenza sono emersi alcuni problemi di compatibilità, in particolare per funzionalità specifiche all’interno del sistema operativo.
Comprensione della rinegoziazione TLS
Per fornire un contesto, la rinegoziazione TLS era una funzionalità disponibile in TLS 1.2 e nei protocolli precedenti, che consentiva a un server di avviare un ulteriore handshake all’interno di una sessione già crittografata per richiedere un certificato client. In Windows, questo processo di rinegoziazione è facilitato dallo stack HTTP (denominato http.sys) e dal pacchetto di sicurezza Schannel, che consente a IIS o IIS Express di assumere il controllo solo al termine dell’handshake iniziale.
Modifiche al comportamento nelle ultime versioni di Windows
Per le installazioni che eseguono versioni precedenti a Windows 11 24H2 o Windows Server 2022, http.sysle connessioni venivano interrotte se era necessario un certificato client ma non era incluso nella configurazione iniziale, in particolare quando il client non supporta l’autenticazione post-handshake. Tuttavia, a partire da Windows 11 24H2 e Windows Server 2025, http.sysora viene restituito un errore “non supportato” quando viene richiesto un certificato client dopo l’handshake. Questo errore attiva IIS per rispondere con uno stato HTTP 500 e il codice di errore 0x80070032, che indica “ERROR_NOT_SUPPORTED”.
Limitazioni dell’autenticazione post-handshake
Microsoft ha chiarito che TLS 1.3 impedisce la rinegoziazione. Sebbene il protocollo introduca un’alternativa nota come autenticazione client post-handshake, la maggior parte degli utenti, inclusi i principali browser web, non l’ha ancora implementata. Questa limitazione implica che i certificati client debbano essere richiesti durante il processo di handshake iniziale; in caso contrario, non potranno essere richiesti in seguito durante la sessione. A causa dell’architettura di IIS e IIS Express, che operano dopo http.sysil completamento dell’handshake, è necessaria una configurazione anticipata per garantire che i certificati client vengano richiesti fin dall’inizio.
Correzioni future e stato attuale
A fine agosto 2025, Microsoft non aveva ancora proposto una soluzione per IIS Express, il che ha portato Hamrick a esprimere incertezza sul rilascio di una correzione. Ha espresso la sua indecisione, affermando: “Onestamente, non sono sicuro se ci sarà una correzione e come sarà se ci sarà”.
Informazioni su Internet Information Services (IIS)
Per contestualizzare, Internet Information Services è il server web robusto ed estensibile di Microsoft, progettato per ospitare siti web e applicazioni su sistemi operativi Windows.IISSi basa sul HTTP.sysdriver del kernel di Windows per la gestione della crittografia TLS/SSL. Quando si configura un binding HTTPS, IIS registra questo binding applicationHost.confige lo sfrutta HTTP.sysper gestire la negoziazione TLS con i client, inoltrando successivamente le richieste HTTP decrittografate a IIS per un’ulteriore elaborazione.
Che cos’è IIS Express?
Al contrario, IIS Express è una versione leggera e autonoma di IIS (a partire dalla versione 7), ottimizzata per scopi di sviluppo e test. A differenza della versione completa di IIS, che richiede il servizio Attivazione processi Windows per gestire le applicazioni web ed è destinata all’uso in produzione, IIS Express può funzionare senza privilegi amministrativi per varie funzioni e configurazioni semplificate.
Per informazioni più dettagliate, puoi accedere al post ufficiale del blog qui sulla Tech Community di Microsoft.
Articoli correlati:
Aggiornamenti Xbox Game Pass: Hollow Knight: Silksong, Cataclismo e nuovi titoli questo mese
14:37
Microsoft offre sconti tecnologici significativi al governo degli Stati Uniti tra i rivali
14:10
Scopri i nuovi miglioramenti e le funzionalità dell’interfaccia utente nell’anteprima di NanaZIP 6
11:48
Lascia un commento