Zmiany w systemie Windows 11 dotyczące protokołu TLS 1.3 i żądań certyfikatów klienta
Niedawne oświadczenia pracownika Microsoftu, Matta Hamricka, wskazują na istotne zmiany w implementacji protokołu Transport Layer Security (TLS) 1.3 w systemie Windows 11, szczególnie w sposobie, w jaki Internet Information Services (IIS) i IIS Express zarządzają żądaniami certyfikatów klientów. Brak obsługi procesu zwanego „renegocjacją” w TLS 1.3 jest tutaj kluczowym problemem. Microsoft wprowadził tę modyfikację w celu zwiększenia bezpieczeństwa i wydajności, podkreślając, że pomoże ona zachować poufność uwierzytelniania klientów, a jednocześnie zminimalizuje liczbę operacji przesyłania danych w obie strony i zmniejszy obciążenie procesora.
Kompromis między bezpieczeństwem a kompatybilnością
Zmiana ta wskazuje, że chociaż Microsoft dąży do poprawy bezpieczeństwa i wydajności, w konsekwencji pojawiły się pewne problemy ze zgodnością, zwłaszcza w przypadku określonych funkcjonalności systemu operacyjnego.
Zrozumienie renegocjacji TLS
Dla kontekstu, renegocjacja TLS była funkcją dostępną w protokołach TLS 1.2 i wcześniejszych, umożliwiającą serwerowi zainicjowanie dodatkowego uzgadniania w ramach już zaszyfrowanej sesji w celu zażądania certyfikatu klienta. W systemie Windows proces renegocjacji jest ułatwiony przez stos HTTP (zwany dalej „HTTP http.sys”) oraz pakiet bezpieczeństwa Schannel, który pozwala usługom IIS lub IIS Express przejąć kontrolę dopiero po zakończeniu początkowego uzgadniania.
Zmiany w zachowaniu w najnowszych wersjach systemu Windows
W przypadku instalacji w wersjach wcześniejszych niż Windows 11 24H2 lub Windows Server 2022 http.syspołączenia były przerywane, jeśli certyfikat klienta był wymagany, ale nie został uwzględniony w początkowej konfiguracji, szczególnie gdy klient nie obsługuje uwierzytelniania po uzgadnianiu. Jednak począwszy od systemów Windows 11 24H2 i Windows Server 2025, http.syszwracany jest błąd „notsupported” (nieobsługiwany), gdy po uzgadnianiu żądany jest certyfikat klienta. Ten błąd powoduje, że IIS odpowiada statusem HTTP 500 i kodem błędu 0x80070032, wskazującym na „ERROR_NOT_SUPPORTED” (BŁĄD_NIE_OBSŁUGIWANY).
Ograniczenia uwierzytelniania po uzgadnianiu
Firma Microsoft wyjaśniła, że protokół TLS 1.3 zabrania renegocjacji. Chociaż protokół wprowadza alternatywę znaną jako uwierzytelnianie klienta po uzgadnianiu (post-handshake), większość użytkowników, w tym najpopularniejsze przeglądarki internetowe, jeszcze jej nie wdrożyła. To ograniczenie oznacza, że certyfikaty klienta muszą zostać zażądane podczas początkowego procesu uzgadniania; w przeciwnym razie nie można ich zażądać w dalszej części sesji. Ze względu na architekturę usług IIS i IIS Express, które działają po http.syszakończeniu uzgadniania, konieczna jest wcześniejsza konfiguracja, aby zapewnić, że certyfikaty klienta zostaną zażądane od samego początku.
Przyszłe poprawki i obecny stan
Do końca sierpnia 2025 roku Microsoft nie zaproponował rozwiązania dla IIS Express, co skłoniło Hamricka do wyrażenia niepewności co do ewentualnego wydania poprawki. Wyraził swoją niezdecydowanie, stwierdzając: „Szczerze mówiąc, nie jestem pewien, czy poprawka w ogóle powstanie i jak będzie wyglądać, jeśli takowa będzie”.
O Internetowych Usługach Informacyjnych (IIS)
Dla kontekstu, Internet Information Services to solidny i rozszerzalny serwer WWW firmy Microsoft, przeznaczony do hostowania witryn internetowych i aplikacji w systemach operacyjnych Windows. Do zarządzania szyfrowaniem TLS/SSL IISwykorzystuje HTTP.syssterownik jądra systemu Windows. Podczas konfigurowania powiązania HTTPS, IIS rejestruje to powiązanie applicationHost.configi wykorzystuje je HTTP.sysdo obsługi negocjacji TLS z klientami, a następnie przekazuje odszyfrowane żądania HTTP do IIS w celu dalszego przetwarzania.
Czym jest IIS Express?
Natomiast IIS Express to lekka, samodzielna wersja IIS (od wersji 7), zoptymalizowana pod kątem rozwoju i testowania. W przeciwieństwie do pełnego IIS, który wymaga usługi aktywacji procesów systemu Windows do zarządzania aplikacjami internetowymi i jest przeznaczony do użytku produkcyjnego, IIS Express może działać bez uprawnień administracyjnych w przypadku różnych funkcji i oferuje uproszczoną konfigurację.
Więcej szczegółowych informacji można znaleźć we wpisie na oficjalnym blogu społeczności technicznej firmy Microsoft.
Powiązane artykuły:
Szczegóły ulepszeń firmy Microsoft dla sterowników nowej generacji systemu Windows 11
20:49
Microsoft wzywa producentów OEM do wdrożenia ostrzeżeń systemu Windows 11 dotyczących problemów z USB-C i powolnym ładowaniem
20:35
Pliki otrzymują znaczącą aktualizację 4.0 zawierającą wiele nowych funkcji
16:59
Dodaj komentarz