Windows 11 中影響 TLS 1.3 和用戶端憑證要求的更改
微軟員工 Matt Hamrick 最近的聲明強調了 Windows 11 對傳輸層安全協定 (TLS) 1.3 實施的重大調整,尤其是在網際網路資訊服務 (IIS) 和 IIS Express 管理用戶端憑證要求的方式上。 TLS 1.3 中缺乏「重新協商」過程的支援是這項調整的核心問題。微軟引入此項修改是為了增強安全性和效率,並指出這將有助於維護客戶端身份驗證的機密性,同時最大限度地減少往返次數並降低 CPU 開銷。
安全性和相容性之間的權衡
這種轉變表明,雖然微軟旨在加強安全性和效能,但隨之而來的是某些相容性問題,特別是作業系統內的特定功能。
了解 TLS 重新協商
具體來說,TLS 重新協商是 TLS 1.2 及更早版本協定中提供的一項功能,允許伺服器在已加密的會話中發起額外的握手,以請求客戶端憑證。在 Windows 中,此重新協商過程由 HTTP 堆疊(稱為http.sys)和 Schannel 安全性套件促成,這使得 IIS 或 IIS Express 僅在初始握手完成後才能接管控制權。
最新 Windows 版本中的行為變化
對於執行 Windows 11 24H2 或 Windows Server 2022 先前版本的安裝,http.sys如果需要用戶端憑證但初始設定中未包含該證書,尤其是在用戶端不支援握手後驗證的情況下,連線將會終止。但是,從 Windows 11 24H2 和 Windows Server 2025 開始,http.sys在握手後要求用戶端憑證時將傳回「不支援」錯誤。此錯誤會觸發 IIS 以 HTTP 500 狀態和錯誤代碼 0x80070032 回應,表示「ERROR_NOT_SUPPORTED」。
握手後身份驗證的局限性
微軟已明確 TLS 1.3 禁止重新協商。儘管該協定引入了一種稱為「握手後用戶端身份驗證」的替代方案,但大多數使用者(包括主流 Web 瀏覽器)尚未實現該方案。此限制意味著必須在初始握手過程中請求客戶端證書;否則,將無法在會話的後續階段請求證書。由於 IIS 和 IIS Express 的架構在http.sys握手完成後運行,因此需要提前配置以確保在初始階段請求用戶端憑證。
未來修復和當前狀態
截至2025年8月底,微軟尚未針對IIS Express提出解決方案,這導致Hamrick表示不確定是否會發布修復程式。他表達了自己的猶豫,並說:“說實話,我不確定是否會有修復程序,以及如果有的話會是什麼樣子。”
關於 Internet 資訊服務 (IIS)
具體來說,Internet Information Services 是 Microsoft 推出的一款功能強大且可擴展的 Web 伺服器,旨在用於在 Windows 作業系統上託管網站和應用程式。它IIS依賴 WindowsHTTP.sys核心驅動程式來管理 TLS/SSL 加密。配置 HTTPS 綁定時,IIS 會記錄此綁定,applicationHost.config並利用它HTTP.sys來處理與客戶端的 TLS 協商,然後將解密的 HTTP 請求傳遞給 IIS 進行進一步處理。
什麼是 IIS Express?
相較之下,IIS Express 是 IIS 的輕量級、獨立版本(從版本 7 開始),針對開發和測試目的進行了最佳化。與需要 Windows 進程啟動服務 (Windows Process Activation Service) 來管理 Web 應用程式且僅供生產使用的完整版 IIS 不同,IIS Express 無需管理員權限即可運行各種功能,並簡化了配置。
欲了解更多詳細信息,您可以訪問Microsoft 技術社區的官方部落格文章。
發佈留言