Abilitare il supporto di TLS 1.1 e TLS 1.2 in SharePoint Server 2019

SI APPLICA A:no-img-132013 no-img-162016 yes-img-192019 no-img-seSubscription Edition no-img-sopSharePoint in Microsoft 365

SharePoint Server 2019 supporta per impostazione predefinita le versioni del protocollo TLS 1.0, 1.1 e 1.2. Tuttavia, per abilitare il supporto end-to-end per le versioni del protocollo TLS 1.1 e 1.2 nell'ambiente SharePoint 2019, potrebbe essere necessario installare gli aggiornamenti o modificare le impostazioni di configurazione nei percorsi seguenti:

  1. Server SharePoint nella farm di SharePoint

  2. Microsoft SQL Server nella farm di SharePoint

  3. Computer client utilizzati per accedere ai siti di SharePoint

Importante

[!IMPORTANTE] Se non si aggiorna ognuna di queste posizioni, si rischia che i sistemi non riescano a connettersi tra loro tramite TLS 1.1 o TLS 1.2. I sistemi torneranno invece a un protocollo di protezione meno recente e, se i protocolli di protezione meno recenti non sono abilitati, la connessione tra i sistemi potrebbe avere esito negativo.

Esempio: I computer client potrebbero non riuscire a connettersi ai siti di SharePoint.

Riepilogo del processo di aggiornamento

Nell'immagine seguente vengono mostrati i tre passaggi necessari per abilitare il supporto di TLS 1.1 e TLS 1.2 nei server SharePoint, SQL Server e computer client.

I tre passaggi per l'aggiornamento dei server nella farm di SharePoint, nel server di Microsoft SQL e nei computer client.

Passaggio 1: aggiornare i server SharePoint nella farm di SharePoint

SharePoint Server 2019 supporta per impostazione predefinita le versioni del protocollo TLS 1.0, 1.1 e 1.2. Non sono necessarie modifiche nei server SharePoint nella farm per abilitare il supporto di TLS 1.1 o TLS 1.2. Seguire questo passaggio per aggiornare il server SharePoint se si desidera disabilitare determinate versioni del protocollo TLS.

Procedura per SharePoint Server Windows Server 2016 Windows Server 2019
Il passaggio seguente è facoltativo. Si può scegliere di eseguire questo passaggio in base ai requisiti di conformità e protezione dell'organizzazione.
1.0 - Disabilitare le versioni precedenti di TLS in Windows Schannel
Facoltativo
Facoltativo

1.0 - Disabilitare le versioni precedenti di TLS in Windows Schannel

Il supporto per SSL e TLS viene abilitato o disabilitato in Windows Schannel modificando il Registro di sistema di Windows. Ogni versione del protocollo SSL e TLS può essere abilitata o disabilitata indipendentemente. Non è necessario abilitare o disabilitare una versione del protocollo per abilitarne o disabilitarne un'altra.

Importante

SSL 2.0 e SSL 3.0 sono disabilitati per impostazione predefinita in Windows Server 2016 e Windows Server 2019 a causa di gravi vulnerabilità di sicurezza in tali versioni del protocollo.

I clienti possono anche disabilitare TLS 1.0 e TLS 1.1 per garantire che vengano utilizzate solo le versioni di protocollo più recenti. Tuttavia, ciò potrebbe provocare problemi di compatibilità con il software che non supporta la versione del protocollo TLS più recente. I clienti devono testare un simile cambiamento prima di applicarlo.

Il valore del Registro di sistema Enabled indica se è possibile utilizzare la versione del protocollo. Se il valore è impostato su 0, la versione del protocollo non può essere utilizzata, anche se è abilitata per impostazione predefinita o se l'applicazione richiede esplicitamente quella versione di protocollo. Se il valore è impostato su 1, la versione del protocollo può essere utilizzata se è abilitata per impostazione predefinita o se l'applicazione richiede esplicitamente quella versione di protocollo. Se il valore non è definito, utilizzerà un valore predefinito determinato dal sistema operativo.

Il valore del registro di sistema DisabledByDefault indica se la versione del protocollo viene utilizzata per impostazione predefinita. Questa impostazione si applica solo quando l'applicazione non richiede esplicitamente le versioni di protocollo da utilizzare. Se il valore è impostato su 0, la versione del protocollo verrà utilizzata per impostazione predefinita. Se il valore è impostato su 1, la versione del protocollo non verrà utilizzata per impostazione predefinita. Se il valore non è definito, utilizzerà un valore predefinito determinato dal sistema operativo.

Per disabilitare il supporto di TLS 1.0 in Windows SChannel

  1. Da Notepad.exe, creare un file di testo denominato tls10-disable.reg.

  2. Copiare e incollare il testo seguente.

    Windows Registry Editor Version 5.00
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0]
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Client]
    "DisabledByDefault"=dword:00000001
    "Enabled"=dword:00000000
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server]
    "DisabledByDefault"=dword:00000001
    "Enabled"=dword:00000000
    
  3. Salvare il file tls10-disable.reg.

  4. Fare doppio clic sul file tls10-disable.reg.

  5. Fare clic su Yes per aggiornare il Registro di sistema di Windows con queste modifiche.

  6. Riavviare il computer per rendere effettive le modifiche.

Per disabilitare il supporto di TLS 1.1 in Windows SChannel

  1. Da Notepad.exe, creare un file di testo denominato tls11-disable.reg.

  2. Copiare e incollare il testo seguente.

    Windows Registry Editor Version 5.00
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1]
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Client]
    "DisabledByDefault"=dword:00000001
    "Enabled"=dword:00000000
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Server]
    "DisabledByDefault"=dword:00000001
    "Enabled"=dword:00000000
    
  3. Salvare il file tls11-disable.reg.

  4. Fare doppio clic sul file tls11-disable.reg.

  5. Fare clic su Yes per aggiornare il Registro di sistema di Windows con queste modifiche.

  6. Riavviare il computer per rendere effettive le modifiche.

Passaggio 2: aggiornare Microsoft SQL Server nella farm di SharePoint

SQL Server 2016 e SQL Server 2017 supportano per impostazione predefinita le versioni del protocollo TLS 1.0, 1.1 e 1.2 in Windows Server 2016 e Windows Server 2019. Non sono necessarie modifiche nei server SQL nella farm di SharePoint per abilitare il supporto di TLS 1.1 o TLS 1.2. Per altre informazioni sul supporto di TLS in SQL Server, vedere l'articolo della Knowledge Base supporto TLS 1.2 per Microsoft SQL Server.

Seguire questo passaggio per aggiornare i server SQL nella farm di SharePoint se si desidera disabilitare determinate versioni del protocollo TLS.

Procedura per SQL Server Windows Server 2016 Windows Server 2019
Il passaggio seguente è facoltativo. Si può scegliere di eseguire questo passaggio in base ai requisiti di conformità e protezione dell'organizzazione.
2.1 - Disabilitare le versioni precedenti di TLS in Windows Schannel
Facoltativo
Facoltativo

2.1 - Disabilitare le versioni precedenti di TLS in Windows Schannel

Il supporto per SSL e TLS viene abilitato o disabilitato in Windows Schannel modificando il Registro di sistema di Windows. Ogni versione del protocollo SSL e TLS può essere abilitata o disabilitata indipendentemente. Non è necessario abilitare o disabilitare una versione del protocollo per abilitarne o disabilitarne un'altra.

Importante

SSL 2.0 e SSL 3.0 sono disabilitati per impostazione predefinita in Windows Server 2016 e Windows Server 2019 a causa di gravi vulnerabilità di sicurezza in tali versioni del protocollo.

I clienti possono anche disabilitare TLS 1.0 e TLS 1.1 per garantire che vengano utilizzate solo le versioni di protocollo più recenti. Tuttavia, ciò potrebbe provocare problemi di compatibilità con il software che non supporta la versione del protocollo TLS più recente. I clienti devono testare un simile cambiamento prima di applicarlo.

Il valore del Registro di sistema Enabled indica se è possibile utilizzare la versione del protocollo. Se il valore è impostato su 0, la versione del protocollo non può essere utilizzata, anche se è abilitata per impostazione predefinita o se l'applicazione richiede esplicitamente quella versione di protocollo. Se il valore è impostato su 1, la versione del protocollo può essere utilizzata se è abilitata per impostazione predefinita o se l'applicazione richiede esplicitamente quella versione di protocollo. Se il valore non è definito, utilizzerà un valore predefinito determinato dal sistema operativo.

Il valore del registro di sistema DisabledByDefault indica se la versione del protocollo viene utilizzata per impostazione predefinita. Questa impostazione si applica solo quando l'applicazione non richiede esplicitamente le versioni di protocollo da utilizzare. Se il valore è impostato su 0, la versione del protocollo verrà utilizzata per impostazione predefinita. Se il valore è impostato su 1, la versione del protocollo non verrà utilizzata per impostazione predefinita. Se il valore non è definito, utilizzerà un valore predefinito determinato dal sistema operativo.

Per disabilitare il supporto di TLS 1.0 in Windows SChannel

  1. Da Notepad.exe, creare un file di testo denominato tls10-disable.reg.

  2. Copiare e incollare il testo seguente.

    Windows Registry Editor Version 5.00
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0]
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Client]
    "DisabledByDefault"=dword:00000001
    "Enabled"=dword:00000000
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server]
    "DisabledByDefault"=dword:00000001
    "Enabled"=dword:00000000
    
  3. Salvare il file tls10-disable.reg.

  4. Fare doppio clic sul file tls10-disable.reg.

  5. Fare clic su Yes per aggiornare il Registro di sistema di Windows con queste modifiche.

  6. Riavviare il computer per rendere effettive le modifiche.

Per disabilitare il supporto di TLS 1.1 in Windows SChannel

  1. Da Notepad.exe, creare un file di testo denominato tls11-disable.reg.

  2. Copiare e incollare il testo seguente.

    Windows Registry Editor Version 5.00
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1]
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Client]
    "DisabledByDefault"=dword:00000001
    "Enabled"=dword:00000000
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Server]
    "DisabledByDefault"=dword:00000001
    "Enabled"=dword:00000000
    
  3. Salvare il file tls11-disable.reg.

  4. Fare doppio clic sul file tls11-disable.reg.

  5. Fare clic su Yes per aggiornare il Registro di sistema di Windows con queste modifiche.

  6. Riavviare il computer per rendere effettive le modifiche.

Passaggio 3: aggiornare i computer client utilizzati per accedere ai siti di SharePoint

Seguire questa procedura per aggiornare i computer client che consentono di accedere al sito di SharePoint.

Procedura per computer client Windows 7 Windows 8.1 Windows 10
3.1 - Abilitare TLS 1.1 e TLS 1.2 in Windows SChannel
Obbligatorio
N/D
N/D
3.2 - Abilitare il supporto di TLS 1.1 e TLS 1.2 in WinHTTP
Obbligatorio
N/D
N/D
3.3 - Abilitare il supporto di TLS 1.1 e TLS 1.2 in Internet Explorer
Obbligatorio
N/D
N/D
3.4 - Abilitare una crittografia complessa in .NET Framework 4.5 o superiore
Obbligatorio
Obbligatorio
Obbligatorio
3.5 - Installare l'aggiornamento .NET Framework 3.5 per il supporto di TLS 1.1 e TLS 1.2
Obbligatorio
Obbligatorio
Obbligatorio
Il passaggio seguente è consigliato. Sebbene non siano direttamente richiesti da SharePoint Server 2019, offrono una maggiore sicurezza limitando l'uso di algoritmi di crittografia debole.
3.6 - Abilitare una crittografia complessa in .NET Framework 3.5
Consigliato
Consigliato
Consigliato
Il passaggio seguente è facoltativo. Si può scegliere di eseguire questo passaggio in base ai requisiti di conformità e protezione dell'organizzazione.
3.7 - Disabilitare le versioni precedenti dei protocolli SSL e TLS in Windows SChannel
Facoltativo
Facoltativo
Facoltativo

3.1 - Abilitare TLS 1.1 e TLS 1.2 in Windows SChannel

Il supporto per SSL e TLS viene abilitato o disabilitato in Windows Schannel modificando il Registro di sistema di Windows. Ogni versione del protocollo SSL e TLS può essere abilitata o disabilitata indipendentemente. Non è necessario abilitare o disabilitare una versione del protocollo per abilitarne o disabilitarne un'altra.

Il valore del Registro di sistema Enabled indica se è possibile utilizzare la versione del protocollo. Se il valore è impostato su 0, la versione del protocollo non può essere utilizzata, anche se è abilitata per impostazione predefinita o se l'applicazione richiede esplicitamente quella versione di protocollo. Se il valore è impostato su 1, la versione del protocollo può essere utilizzata se è abilitata per impostazione predefinita o se l'applicazione richiede esplicitamente quella versione di protocollo. Se il valore non è definito, utilizzerà un valore predefinito determinato dal sistema operativo.

Il valore del registro di sistema DisabledByDefault indica se la versione del protocollo viene utilizzata per impostazione predefinita. Questa impostazione si applica solo quando l'applicazione non richiede esplicitamente le versioni di protocollo da utilizzare. Se il valore è impostato su 0, la versione del protocollo verrà utilizzata per impostazione predefinita. Se il valore è impostato su 1, la versione del protocollo non verrà utilizzata per impostazione predefinita. Se il valore non è definito, utilizzerà un valore predefinito determinato dal sistema operativo.

Per abilitare il supporto di TLS 1.1 in Windows SChannel

  1. Da Notepad.exe, creare un file di testo denominato tls11-enable.reg.

  2. Copiare e incollare il testo seguente.

    Windows Registry Editor Version 5.00 
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1]
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Client]
    "DisabledByDefault"=dword:00000000
    "Enabled"=dword:00000001
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Server]
    "DisabledByDefault"=dword:00000000
    "Enabled"=dword:00000001
    
  3. Salvare il file tls11-enable.reg.

  4. Fare doppio clic sul file tls11-enable.reg.

  5. Fare clic su Yes per aggiornare il Registro di sistema di Windows con queste modifiche.

  6. Riavviare il computer per rendere effettive le modifiche.

Per abilitare il supporto di TLS 1.2 in Windows SChannel

  1. Da Notepad.exe, creare un file di testo denominato tls12-enable.reg.

  2. Copiare e incollare il testo seguente.

    Windows Registry Editor Version 5.00
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2]
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
    "DisabledByDefault"=dword:00000000
    "Enabled"=dword:00000001
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server]
    "DisabledByDefault"=dword:00000000
    "Enabled"=dword:00000001
    
  3. Salvare il file tls12-enable.reg.

  4. Fare doppio clic sul file tls12-enable.reg.

  5. Fare clic su Yes per aggiornare il Registro di sistema di Windows con queste modifiche.

  6. Riavviare il computer per rendere effettive le modifiche.

3.2 - Abilitare il supporto di TLS 1.1 e TLS 1.2 in WinHTTP

WinHTTP non eredita le impostazioni predefinite della versione del protocollo di crittografia SSL e TLS dal valore del Registro di sistema di Windows SChannel DisabledByDefault. WinHTTP utilizza le proprie impostazioni predefinite della versione del protocollo di crittografia SSL e TLS, che variano in base al sistema operativo. Per ignorare le impostazioni predefinite, è necessario installare un aggiornamento KB e configurare le chiavi del Registro di sistema di Windows.

Il valore del Registro di sistema DefaultSecureProtocols di WinHTTP è un campo di bit che accetta più valori aggiungendoli insieme in un singolo valore. È possibile utilizzare il programma Calcolatrice Windows (Calc.exe) in modalità Programmatore per aggiungere i seguenti valori esadecimali come desiderato.

Valore DefaultSecureProtocols Descrizione
0x00000008
Consente di abilitare SSL 2.0 per impostazione predefinita
0x00000020
Consente di abilitare SSL 3.0 per impostazione predefinita
0x00000080
Consente di abilitare TLS 1.0 per impostazione predefinita
0x00000200
Consente di abilitare TLS 1.1 per impostazione predefinita
0x00000800
Consente di abilitare TLS 1.2 per impostazione predefinita

Ad esempio, è possibile abilitare TLS 1.0, TLS 1.1 e TLS 1.2 per impostazione predefinita aggiungendo i valori 0x00000080, 0x00000200 e 0x00000800 insieme per formare il valore 0x00000A80.

Per installare l'aggiornamento KB di WinHTTP, seguire le istruzioni riportate nell'articolo della Knowledge Base Aggiornamento per abilitare TLS 1.1 e TLS 1.2 come protocolli di protezione in WinHTTP in Windows

Per abilitare TLS 1.0, TLS 1.1 e TLS 1.2 per impostazione predefinita in WinHTTP

  1. Da Notepad.exe, creare un file di testo denominato winhttp-tls10-tls12-enable.reg.

  2. Copiare e incollare il testo seguente.

    For 64-bit operating system

    Windows Registry Editor Version 5.00
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp]
    "DefaultSecureProtocols"=dword:00000A80
    [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp]
    "DefaultSecureProtocols"=dword:00000A80
    

    For 32-bit operating system

    Windows Registry Editor Version 5.00
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp]
    "DefaultSecureProtocols"=dword:00000A80
    
  3. Salvare il file winhttp-tls10-tls12-enable.reg.

  4. Fare doppio clic sul file winhttp-tls10-tls12-enable.reg.

  5. Fare clic su Yes per aggiornare il Registro di sistema di Windows con queste modifiche.

  6. Riavviare il computer per rendere effettive le modifiche.

3.3 - Abilitare il supporto di TLS 1.1 e TLS 1.2 in Internet Explorer

Le versioni di Internet Explorer precedenti a Internet Explorer 11 non consentono di abilitare il supporto di TLS 1.1 o TLS 1.2 per impostazione predefinita. Il supporto per TLS 1.1 e TLS 1.2 è abilitato per impostazione predefinita a partire da Internet Explorer 11.

Per abilitare il supporto di TLS 1.1 e TLS 1.2 in Internet Explorer

  1. In Internet Explorer fare clic su Strumenti>Opzioni> InternetAvanzate oppure scegliere Impostazioni dal menuOpzioni Internet avanzate>di Internet Explorer>.

  2. Nella sezione Security, assicurarsi che siano selezionate le seguenti caselle di controllo. In caso contrario, selezionare le caselle di controllo seguenti:

  • Usa TLS 1.1

  • Usa TLS 1.2

  1. Facoltativamente, se si desidera disabilitare il supporto per le versioni dei protocolli di protezione precedenti, deselezionare le caselle di controllo seguenti:
  • Usa SSL 2.0

  • Usa SSL 3.0

  • Usa TLS 1.0

    Nota

    [!NOTA] Disabilitando TLS 1.0 potrebbero verificarsi problemi di compatibilità con i siti che non supportano versioni dei protocolli di protezione più recenti. I clienti devono testare questo cambiamento prima di applicarlo.

  1. Fare clic su OK.

3.4 - Abilitare una crittografia complessa in .NET Framework 4.5 o superiore

.NET Framework 4.5 e versioni successive non eredita le impostazioni predefinite della versione del protocollo di protezione SSL e TLS dal valore del Registro di sistema di Windows SChannel DisabledByDefault. Utilizza invece le proprie impostazioni predefinite della versione del protocollo di protezione SSL e TLS. Per ignorare le impostazioni predefinite, è necessario configurare le chiavi del Registro di sistema di Windows.

Il valore del Registro di sistema SchUseStrongCrypto consente di modificare le impostazioni predefinite della versione del protocollo di protezione di .NET Framework 4.5 e versioni successive da SSL 3.0 o TLS 1.0 a TLS 1.0 o TLS 1.1 o TLS 1.2. Inoltre, limita l'utilizzo degli algoritmi di crittografia con TLS che sono considerati vulnerabili, come RC4.

Le applicazioni compilate per .NET Framework 4.6 o versioni successive si comporteranno come se il valore della chiave di Registro SchUseStrongCrypto fosse impostato su 1, anche se non lo è. Per assicurarsi che tutte le applicazioni di .NET Framework utilizzi la crittografia complessa, è necessario configurare questo valore del Registro di sistema di Windows.

Microsoft ha rilasciato un aggiornamento della sicurezza facoltativo per .NET Framework 4.5, 4.5.1 e 4.5.2 che consente di configurare automaticamente le chiavi del Registro di sistema di Windows. Non sono disponibili aggiornamenti per .NET Framework 4.6 o versioni successive. È necessario configurare manualmente le chiavi del Registro di sistema di Windows in .NET Framework 4.6.

For Windows 7 and Windows Server 2008 R2

For Windows Server 2012

For Windows 8.1 and Windows Server 2012 R2

Per abilitare una crittografia complessa in .NET Framework 4.6 o superiore

  1. Da Notepad.exe, creare un file di testo denominato net46-strong-crypto-enable.reg.

  2. Copiare e incollare il testo seguente.

    For 64-bit operating system

    Windows Registry Editor Version 5.00
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
    "SchUseStrongCrypto"=dword:00000001
    [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v4.0.30319]
    "SchUseStrongCrypto"=dword:00000001
    

    For 32-bit operating system

    Windows Registry Editor Version 5.00
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
    "SchUseStrongCrypto"=dword:00000001
    
  3. Salvare il file net46-strong-crypto-enable.reg.

  4. Fare doppio clic sul file net46-strong-crypto-enable.reg.

  5. Fare clic su Yes per aggiornare il Registro di sistema di Windows con queste modifiche.

  6. Riavviare il computer per rendere effettive le modifiche.

3.5 - Installare l'aggiornamento .NET Framework 3.5 per il supporto di TLS 1.1 e TLS 1.2

.NET Framework 3.5 non supporta TLS 1.1 o TLS 1.2 per impostazione predefinita. Per aggiungere supporto per TLS 1.1 e TLS 1.2, è necessario installare un aggiornamento KB e configurare le chiavi del Registro di sistema di Windows per ciascuno dei sistemi operativi elencati in questa sezione.

Il valore del Registro di sistema SystemDefaultTlsVersions definisce quali impostazioni predefinite della versione del protocollo di protezione verranno utilizzate da .NET Framework 3.5. Se il valore è impostato su 0, .NET Framework 3.5 avrà SSL 3.0 or TLS 1.0 come impostazione predefinita. Se il valore è impostato su 1, .NET Framework 3.5 erediterà le impostazioni predefinite dai valori del Registro di sistema DisabledByDefault di Windows SChannel. Se il valore non è definito, sarà come se fosse impostato su 0.

Per abilitare .NET Framework 3.5 a ereditare le impostazioni predefinite del protocollo di crittografia da Windows SChannel

For Windows 7 and Windows Server 2008 R2

  1. Per installare l'aggiornamento .NET Framework 3.5.1 per Windows 7 e Windows Server 2008 R2, vedere l'articolo della Knowledge Base Supporto per versioni predefinite di sistema TLS incluse in .NET Framework 3.5.1 su Windows 7 SP1 e Server 2008 R2 SP1

  2. Dopo aver installato l'aggiornamento KB, configurare manualmente le chiavi del Registro di sistema.

For Windows Server 2012

  1. Per installare l'aggiornamento .NET Framework 3.5 per Windows Server 2012, vedere l'articolo della Knowledge Base Supporto per versioni predefinite di sistema TLS incluse in .NET Framework 3.5 su Windows Server 2012

  2. Dopo aver installato l'aggiornamento KB, configurare manualmente le chiavi del Registro di sistema.

For Windows 8.1 and Windows Server 2012 R2

  1. Per installare l'aggiornamento .NET Framework 3.5 SP1 per Windows 8.1 e Windows Server 2012 R2, vedere l'articolo della Knowledge Base Supporto per versioni predefinite di sistema TLS incluse in .NET Framework 3.5 su Windows 8.1 e Windows Server 2012 R2

  2. Dopo aver installato l'aggiornamento KB, configurare manualmente le chiavi del Registro di sistema.

For Windows 10 (Version 1507)

For Windows 10 (Version 1511)

  1. Per installare l'aggiornamento cumulativo per Windows 10 versione 1511 e Windows Server 2016 Technical Preview 4: 10 maggio 2016, vedere Aggiornamento cumulativo per Windows 10 versione 1511 e Windows Server 2016 Technical Preview 4: 10 maggio 2016.

  2. Dopo aver installato l'aggiornamento KB, configurare manualmente le chiavi del Registro di sistema.

Windows 10 (versione 1607) e versioni successive, Windows Server 2016 e Windows Server 2019

Non è necessario installare nessun aggiornamento. Configurare le chiavi del Registro di sistema di Windows come descritto di seguito.

To manually configure the registry keys, do these steps.

  1. Da Notepad.exe, creare un file di testo denominato net35-tls12-enable.reg.

  2. Copiare e incollare il testo seguente.

    For 64-bit operating system

    Windows Registry Editor Version 5.00
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v2.0.50727]
    "SystemDefaultTlsVersions"=dword:00000001
    [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v2.0.50727]
    "SystemDefaultTlsVersions"=dword:00000001
    

    For 32-bit operating system

    Windows Registry Editor Version 5.00
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v2.0.50727]
    "SystemDefaultTlsVersions"=dword:00000001
    
  3. Salvare il file net35-tls12-enable.reg.

  4. Fare doppio clic sul file net35-tls12-enable.reg.

  5. Fare clic su Yes per aggiornare il Registro di sistema di Windows con queste modifiche.

  6. Riavviare il computer per rendere effettive le modifiche.

3.6 - Abilitare una crittografia complessa in .NET Framework 3.5

Il valore del Registro di sistema SchUseStrongCrypto limita l'utilizzo degli algoritmi di crittografia con TLS che sono considerati vulnerabili, come RC4.

Microsoft ha rilasciato un aggiornamento della sicurezza facoltativo per .NET Framework 3.5 in sistemi operativi precedenti a Windows 10 che consente di configurare automaticamente le chiavi del Registro di sistema di Windows. Non sono disponibili aggiornamenti per Windows 10. È necessario configurare manualmente le chiavi del Registro di sistema di Windows in Windows 10.

For Windows 7 and Windows Server 2008 R2

Per abilitare una crittografia complessa in .NET Framework 3.5.1 in Windows 7 e Windows Server 2008 R2, vedere l'articolo della Knowledge Base Descrizione dell'aggiornamento della sicurezza per .NET Framework 3.5.1 in Windows 7 Service Pack 1 e Windows Server 2008 R2 Service Pack 1: 13 maggio 2014

For Windows Server 2012

Per abilitare una crittografia complessa in .NET Framework 3.5 in Windows Server 2012, vedere l'articolo della Knowledge Base Descrizione dell'aggiornamento della sicurezza per .NET Framework 3.5 in Windows 8 e Windows Server 2012: 13 maggio 2014

For Windows 8.1 and Windows Server 2012 R2

Per abilitare una crittografia complessa in .NET Framework 3.5 in Windows 8.1 e Windows Server 2012 R2, vedere l'articolo della Knowledge Base Descrizione dell'aggiornamento della sicurezza per .NET Framework 3.5 in Windows 8.1 e Windows Server 2012 R2: 13 maggio 2014

To enable strong cryptography in .NET Framework 3.5 on Windows 10

  1. Da Notepad.exe, creare un file di testo denominato net35-strong-crypto-enable.reg.

  2. Copiare e incollare il testo seguente.

    For 64-bit operating system

    Windows Registry Editor Version 5.00
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v2.0.50727]
    "SchUseStrongCrypto"=dword:00000001
    [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v2.0.50727]
    "SchUseStrongCrypto"=dword:00000001
    

    For 32-bit operating system

    Windows Registry Editor Version 5.00
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v2.0.50727]
    "SchUseStrongCrypto"=dword:00000001
    
  3. Salvare il file net35-strong-crypto-enable.reg.

  4. Fare doppio clic sul file net35-strong-crypto-enable.reg.

  5. Fare clic su Yes per aggiornare il Registro di sistema di Windows con queste modifiche.

  6. Riavviare il computer per rendere effettive le modifiche.

3.7 - Disabilitare le versioni precedenti dei protocolli SSL e TLS in Windows SChannel

Il supporto per SSL e TLS viene abilitato o disabilitato in Windows Schannel modificando il Registro di sistema di Windows. Ogni versione del protocollo SSL e TLS può essere abilitata o disabilitata indipendentemente. Non è necessario abilitare o disabilitare una versione del protocollo per abilitarne o disabilitarne un'altra.

Importante

Si consiglia di disabilitare SSL 2.0 e SSL 3.0 a causa di gravi vulnerabilità di protezione in quelle versioni di protocollo.

I clienti possono anche disabilitare TLS 1.0 e TLS 1.1 per garantire che vengano utilizzate solo le versioni di protocollo più recenti. Tuttavia, ciò potrebbe provocare problemi di compatibilità con il software che non supporta la versione del protocollo TLS più recente. I clienti devono testare un simile cambiamento prima di applicarlo.

Il valore del Registro di sistema Enabled indica se è possibile utilizzare la versione del protocollo. Se il valore è impostato su 0, la versione del protocollo non può essere utilizzata, anche se è abilitata per impostazione predefinita o se l'applicazione richiede esplicitamente quella versione di protocollo. Se il valore è impostato su 1, la versione del protocollo può essere utilizzata se è abilitata per impostazione predefinita o se l'applicazione richiede esplicitamente quella versione di protocollo. Se il valore non è definito, utilizzerà un valore predefinito determinato dal sistema operativo.

Il valore del registro di sistema DisabledByDefault indica se la versione del protocollo viene utilizzata per impostazione predefinita. Questa impostazione si applica solo quando l'applicazione non richiede esplicitamente le versioni di protocollo da utilizzare. Se il valore è impostato su 0, la versione del protocollo verrà utilizzata per impostazione predefinita. Se il valore è impostato su 1, la versione del protocollo non verrà utilizzata per impostazione predefinita. Se il valore non è definito, utilizzerà un valore predefinito determinato dal sistema operativo.

Per disabilitare il supporto di SSL 2.0 in Windows SChannel

  1. Da Notepad.exe, creare un file di testo denominato ssl20-disable.reg.

  2. Copiare e incollare il testo seguente.

    Windows Registry Editor Version 5.00
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0]
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Client]
    "DisabledByDefault"=dword:00000001
    "Enabled"=dword:00000000
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Server]
    "DisabledByDefault"=dword:00000001
    "Enabled"=dword:00000000
    
  3. Salvare il file ssl20-disable.reg.

  4. Fare doppio clic sul file ssl20-disable.reg.

  5. Fare clic su Yes per aggiornare il Registro di sistema di Windows con queste modifiche.

  6. Riavviare il computer per rendere effettive le modifiche.

Per disabilitare il supporto di SSL 3.0 in Windows SChannel

  1. Da Notepad.exe, creare un file di testo denominato ssl30-disable.reg.

  2. Copiare e incollare il testo seguente.

    Windows Registry Editor Version 5.00
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0]
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Client]
    "DisabledByDefault"=dword:00000001
    "Enabled"=dword:00000000
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Server]
    "DisabledByDefault"=dword:00000001
    "Enabled"=dword:00000000
    
  3. Salvare il file ssl30-disable.reg.

  4. Fare doppio clic sul file ssl30-disable.reg.

  5. Fare clic su Yes per aggiornare il Registro di sistema di Windows con queste modifiche.

  6. Riavviare il computer per rendere effettive le modifiche.

Per disabilitare il supporto di TLS 1.0 in Windows SChannel

  1. Da Notepad.exe, creare un file di testo denominato tls10-disable.reg.

  2. Copiare e incollare il testo seguente.

    Windows Registry Editor Version 5.00
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0]
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Client]
    "DisabledByDefault"=dword:00000001
    "Enabled"=dword:00000000
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server]
    "DisabledByDefault"=dword:00000001
    "Enabled"=dword:00000000
    
  3. Salvare il file tls10-disable.reg.

  4. Fare doppio clic sul file tls10-disable.reg.

  5. Fare clic su Yes per aggiornare il Registro di sistema di Windows con queste modifiche.

  6. Riavviare il computer per rendere effettive le modifiche.

Per disabilitare il supporto di TLS 1.1 in Windows SChannel

  1. Da Notepad.exe, creare un file di testo denominato tls11-disable.reg.

  2. Copiare e incollare il testo seguente.

    Windows Registry Editor Version 5.00
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1]
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Client]
    "DisabledByDefault"=dword:00000001
    "Enabled"=dword:00000000
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Server]
    "DisabledByDefault"=dword:00000001
    "Enabled"=dword:00000000
    
  3. Salvare il file tls11-disable.reg.

  4. Fare doppio clic sul file tls11-disable.reg.

  5. Fare clic su Yes per aggiornare il Registro di sistema di Windows con queste modifiche.

  6. Riavviare il computer per rendere effettive le modifiche.