Pracownik Microsoftu ujawnia, że ​​system Windows 11 może nie obsługiwać kluczowej funkcji internetowej dla komputerów biurowych

Pracownik Microsoftu ujawnia, że ​​system Windows 11 może nie obsługiwać kluczowej funkcji internetowej dla komputerów biurowych

Zmiany w systemie Windows 11 dotyczące protokołu TLS 1.3 i żądań certyfikatów klienta

Niedawne oświadczenia pracownika Microsoftu, Matta Hamricka, wskazują na istotne zmiany w implementacji protokołu Transport Layer Security (TLS) 1.3 w systemie Windows 11, szczególnie w sposobie, w jaki Internet Information Services (IIS) i IIS Express zarządzają żądaniami certyfikatów klientów. Brak obsługi procesu zwanego „renegocjacją” w TLS 1.3 jest tutaj kluczowym problemem. Microsoft wprowadził tę modyfikację w celu zwiększenia bezpieczeństwa i wydajności, podkreślając, że pomoże ona zachować poufność uwierzytelniania klientów, a jednocześnie zminimalizuje liczbę operacji przesyłania danych w obie strony i zmniejszy obciążenie procesora.

Kompromis między bezpieczeństwem a kompatybilnością

Zmiana ta wskazuje, że chociaż Microsoft dąży do poprawy bezpieczeństwa i wydajności, w konsekwencji pojawiły się pewne problemy ze zgodnością, zwłaszcza w przypadku określonych funkcjonalności systemu operacyjnego.

Zrozumienie renegocjacji TLS

Dla kontekstu, renegocjacja TLS była funkcją dostępną w protokołach TLS 1.2 i wcześniejszych, umożliwiającą serwerowi zainicjowanie dodatkowego uzgadniania w ramach już zaszyfrowanej sesji w celu zażądania certyfikatu klienta. W systemie Windows proces renegocjacji jest ułatwiony przez stos HTTP (zwany dalej „HTTP http.sys”) oraz pakiet bezpieczeństwa Schannel, który pozwala usługom IIS lub IIS Express przejąć kontrolę dopiero po zakończeniu początkowego uzgadniania.

Zmiany w zachowaniu w najnowszych wersjach systemu Windows

W przypadku instalacji w wersjach wcześniejszych niż Windows 11 24H2 lub Windows Server 2022 http.syspołączenia były przerywane, jeśli certyfikat klienta był wymagany, ale nie został uwzględniony w początkowej konfiguracji, szczególnie gdy klient nie obsługuje uwierzytelniania po uzgadnianiu. Jednak począwszy od systemów Windows 11 24H2 i Windows Server 2025, http.syszwracany jest błąd „notsupported” (nieobsługiwany), gdy po uzgadnianiu żądany jest certyfikat klienta. Ten błąd powoduje, że IIS odpowiada statusem HTTP 500 i kodem błędu 0x80070032, wskazującym na „ERROR_NOT_SUPPORTED” (BŁĄD_NIE_OBSŁUGIWANY).

Ograniczenia uwierzytelniania po uzgadnianiu

Firma Microsoft wyjaśniła, że ​​protokół TLS 1.3 zabrania renegocjacji. Chociaż protokół wprowadza alternatywę znaną jako uwierzytelnianie klienta po uzgadnianiu (post-handshake), większość użytkowników, w tym najpopularniejsze przeglądarki internetowe, jeszcze jej nie wdrożyła. To ograniczenie oznacza, że ​​certyfikaty klienta muszą zostać zażądane podczas początkowego procesu uzgadniania; w przeciwnym razie nie można ich zażądać w dalszej części sesji. Ze względu na architekturę usług IIS i IIS Express, które działają po http.syszakończeniu uzgadniania, konieczna jest wcześniejsza konfiguracja, aby zapewnić, że certyfikaty klienta zostaną zażądane od samego początku.

Przyszłe poprawki i obecny stan

Do końca sierpnia 2025 roku Microsoft nie zaproponował rozwiązania dla IIS Express, co skłoniło Hamricka do wyrażenia niepewności co do ewentualnego wydania poprawki. Wyraził swoją niezdecydowanie, stwierdzając: „Szczerze mówiąc, nie jestem pewien, czy poprawka w ogóle powstanie i jak będzie wyglądać, jeśli takowa będzie”.

O Internetowych Usługach Informacyjnych (IIS)

Dla kontekstu, Internet Information Services to solidny i rozszerzalny serwer WWW firmy Microsoft, przeznaczony do hostowania witryn internetowych i aplikacji w systemach operacyjnych Windows. Do zarządzania szyfrowaniem TLS/SSL IISwykorzystuje HTTP.syssterownik jądra systemu Windows. Podczas konfigurowania powiązania HTTPS, IIS rejestruje to powiązanie applicationHost.configi wykorzystuje je HTTP.sysdo obsługi negocjacji TLS z klientami, a następnie przekazuje odszyfrowane żądania HTTP do IIS w celu dalszego przetwarzania.

Czym jest IIS Express?

Natomiast IIS Express to lekka, samodzielna wersja IIS (od wersji 7), zoptymalizowana pod kątem rozwoju i testowania. W przeciwieństwie do pełnego IIS, który wymaga usługi aktywacji procesów systemu Windows do zarządzania aplikacjami internetowymi i jest przeznaczony do użytku produkcyjnego, IIS Express może działać bez uprawnień administracyjnych w przypadku różnych funkcji i oferuje uproszczoną konfigurację.

Więcej szczegółowych informacji można znaleźć we wpisie na oficjalnym blogu społeczności technicznej firmy Microsoft.

Źródło i obrazy

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *