Alterações no Windows 11 que afetam o TLS 1.3 e as solicitações de certificado do cliente
Declarações recentes do funcionário da Microsoft, Matt Hamrick, destacam ajustes significativos na implementação do Transport Layer Security (TLS) 1.3 no Windows 11, particularmente na forma como os Serviços de Informações da Internet (IIS) e o IIS Express gerenciam solicitações de certificados de clientes. A falta de suporte para um processo chamado “renegociação” no TLS 1.3 é um problema central aqui. A Microsoft introduziu essa modificação para aprimorar a segurança e a eficiência, observando que ela ajudará a manter a confidencialidade na autenticação do cliente, minimizando as viagens de ida e volta e reduzindo a sobrecarga da CPU.
O equilíbrio entre segurança e compatibilidade
Essa mudança indica que, embora a Microsoft pretenda reforçar a segurança e o desempenho, certos problemas de compatibilidade surgiram como consequência, principalmente para funcionalidades específicas do sistema operacional.
Compreendendo a renegociação do TLS
Para contextualizar, a renegociação TLS era um recurso disponível no TLS 1.2 e em protocolos anteriores, permitindo que um servidor iniciasse um handshake adicional dentro de uma sessão já criptografada para solicitar um certificado de cliente. No Windows, esse processo de renegociação é facilitado pela pilha HTTP (chamada de http.sys) e pelo pacote de segurança Schannel, que permite que o IIS ou o IIS Express assuma o controle somente após a conclusão do handshake inicial.
Mudanças de comportamento nas versões mais recentes do Windows
Para instalações com versões anteriores ao Windows 11 24H2 ou Windows Server 2022, http.syso recurso encerrava as conexões se um certificado de cliente fosse necessário, mas não estivesse incluído na configuração inicial, principalmente quando o cliente não oferece suporte à autenticação pós-handshake. No entanto, a partir do Windows 11 24H2 e do Windows Server 2025, o recurso http.sysagora retorna um erro “não suportado” quando um certificado de cliente é solicitado após o handshake. Esse erro faz com que o IIS responda com um status HTTP 500 e o código de erro 0x80070032, indicando “ERROR_NOT_SUPPORTED”.
Limitações da autenticação pós-HandShake
A Microsoft esclareceu que o TLS 1.3 proíbe a renegociação. Embora o protocolo introduza uma alternativa conhecida como autenticação de cliente pós-handshake, a maioria dos usuários, incluindo os principais navegadores da web, ainda não a implementou. Essa limitação significa que os certificados de cliente devem ser solicitados durante o processo de handshake inicial; caso contrário, não poderão ser solicitados posteriormente na sessão. Devido à arquitetura do IIS e do IIS Express, que operam após http.sysa conclusão do handshake, é necessária uma configuração prévia para garantir que os certificados de cliente sejam solicitados desde o início.
Correções futuras e status atual
Até o final de agosto de 2025, a Microsoft não havia proposto uma solução para o IIS Express, o que levou Hamrick a expressar incerteza sobre se uma correção seria lançada. Ele expressou sua indecisão, afirmando: “honestamente, não tenho certeza se haverá uma correção e como será, se houver”.
Sobre os Serviços de Informações da Internet (IIS)
Para contextualizar, o Internet Information Services (IIS) é um servidor web robusto e extensível da Microsoft, projetado para hospedar sites e aplicativos em sistemas operacionais Windows.IISEle depende do HTTP.sysdriver do kernel do Windows para gerenciar a criptografia TLS/SSL. Ao configurar uma vinculação HTTPS, o IIS registra essa vinculação applicationHost.confige a utiliza HTTP.syspara lidar com a negociação TLS com os clientes, passando posteriormente as solicitações HTTP descriptografadas para o IIS para processamento posterior.
O que é o IIS Express?
Em contraste, o IIS Express é uma versão leve e independente do IIS (a partir da versão 7), otimizada para fins de desenvolvimento e testes. Ao contrário do IIS completo, que requer o Serviço de Ativação de Processos do Windows para gerenciar aplicativos web e se destina ao uso em produção, o IIS Express pode operar sem privilégios administrativos para diversas funções e apresenta configurações simplificadas.
Para obter informações mais detalhadas, você pode acessar a postagem oficial do blog aqui na Comunidade de Tecnologia da Microsoft.
Artigos relacionados:
O reboot cancelado de Perfect Dark do Xbox visa revitalizar o gênero de agentes secretos
17:27
Por que escolhi corrigir o Windows 10 em vez de atualizar para o Windows 11
17:25
Call of Duty: Black Ops 7: Mapas de lançamento e novos saltos de parede no Omnimovement
17:17
Deixe um comentário