Como ativar o TLS 1.2 nos clientes
Aplica-se a: Gestor de Configuração (Filial Atual)
Ao ativar o TLS 1.2 para o ambiente do Seu Gestor de Configuração, comece por garantir que os clientes são capazes e devidamente configurados para utilizar o TLS 1.2 antes de permitir o TLS 1.2 e desativar os protocolos mais antigos nos servidores do site e nos sistemas de site remoto. Existem três tarefas para permitir o TLS 1.2 nos clientes:
- Atualizar Windows e WinHTTP
- Certifique-se de que o TLS 1.2 está ativado como protocolo para o SChannel a nível do sistema operativo
- Atualizar e configurar o .NET Framework de suporte TLS 1.2
Para obter mais informações sobre dependências para funcionalidades e cenários específicos do Gestor de Configurações, consulte Sobre a possibilidade de permitir o TLS 1.2.
Atualizar Windows e WinHTTP
Windows 8.1, Windows Server 2012 R2, Windows 10, Windows Server 2016 e versões posteriores de Windows suportam de forma nativa TLS 1.2 para comunicações de servidores clientes sobre o WinHTTP.
Versões anteriores de Windows, como Windows 7 ou Windows Server 2012, não permitem, por padrão, o TLS 1.1 ou TLS 1.2 para comunicações seguras utilizando o WinHTTP. Para estas versões anteriores de Windows, instale update 3140245 para ativar o valor de registo abaixo, que pode ser definido para adicionar TLS 1.1 e TLS 1.2 à lista de protocolos seguros predefinidos para WinHTTP. Com o patch instalado, crie os seguintes valores de registo:
Importante
Ativar estas definições em todos os clientes que executam versões anteriores de Windows antes de ativar o TLS 1.2 e desativar os protocolos mais antigos nos servidores do Gestor de Configuração. Caso contrário, podes, inadvertidamente, órfá-los.
Verifique o valor da DefaultSecureProtocols
definição de registo, por exemplo:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp\
DefaultSecureProtocols = (DWORD): 0xAA0
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp\
DefaultSecureProtocols = (DWORD): 0xAA0
Se alterar este valor, reinicie o computador.
O exemplo acima mostra o valor da 0xAA0
DefaultSecureProtocols
definição WinHTTP. Atualização para ativar TLS 1.1 e TLS 1.2 como protocolos seguros predefinidos no WinHTTP em Windows lista o valor hexadecimal para cada protocolo. Por padrão em Windows, este valor é 0x0A0
para ativar SSL 3.0 e TLS 1.0 para WinHTTP. O exemplo acima mantém estes padrão, e também permite TLS 1.1 e TLS 1.2 para WinHTTP. Esta configuração garante que a alteração não quebre qualquer outra aplicação que ainda possa contar com SSL 3.0 ou TLS 1.0. Pode utilizar o valor de 0xA00
apenas ativar TLS 1.1 e TLS 1.2. O Gestor de Configuração suporta o protocolo mais seguro que Windows negoceia entre ambos os dispositivos.
Se pretender desativar completamente o SSL 3.0 e o TLS 1.0, utilize os protocolos SChannel desativado Windows. Para obter mais informações, consulte Restringir a utilização de certos algoritmos e protocolos criptográficos em Schannel.dll.
Certifique-se de que o TLS 1.2 está ativado como protocolo para o SChannel a nível do sistema operativo
TLS 1.2 é ativado por predefinição. Portanto, não é necessária qualquer alteração a estas teclas para o permitir. Pode fazer alterações Protocols
para desativar os TLS 1.0 e TLS 1.1 depois de ter seguido o resto da orientação nestes artigos e verificou que o ambiente funciona quando apenas o TLS 1.2 está ativado.
Verifique a \SecurityProviders\SCHANNEL\Protocols
definição da sub-chave do registo, como indicado nas melhores práticas de segurança da camada de transporte (TLS) com o .NET Framework.
Atualizar e configurar o .NET Framework de suporte TLS 1.2
Determine a versão .NET
Primeiro, determine as versões .NET instaladas. Para obter mais informações, consulte determinar quais as versões e os níveis de pacote de serviço de .NET Framework estão instalados.
Instalar atualizações .NET
Instale as atualizações .NET para que possa ativar uma criptografia forte. Algumas versões de .NET Framework podem necessitar de atualizações para ativar uma criptografia forte. Utilize estas diretrizes:
Net Framework 4.6.2 e posteriormente suporta TLS 1.1 e TLS 1.2. Confirme as definições do registo, mas não são necessárias alterações adicionais.
Nota
A partir da versão 2107, o Gestor de Configurações requer a .NET Framework versão 4.6.2 da Microsoft para servidores de sites, sistemas de sites específicos, clientes e a consola. Se possível no seu ambiente, instale a versão mais recente da versão .NET 4.8.
Atualizar o Net Framework 4.6 e as versões anteriores para suportar as versões TLS 1.1 e TLS 1.2. Para mais informações, consulte .NET Framework versões e dependências.
Se estiver a utilizar .NET Framework 4.5.1 ou 4.5.2 em Windows 8.1 ou Windows Server 2012, as atualizações e detalhes relevantes também estão disponíveis no Centro de Descarregamentos.
Configuração para criptografia forte
Configurar .NET Framework para apoiar uma criptografia forte. Defina SchUseStrongCrypto
a definição de registo para DWORD:00000001
. Este valor desativa a cifra de fluxo RC4 e requer um reinício. Para obter mais informações sobre esta definição, consulte o Microsoft Security Advisory 296038.
Certifique-se de que define as seguintes teclas de registo em qualquer computador que comunique através da rede com um sistema com ativação TLS 1.2. Por exemplo, clientes do Gestor de Configuração, funções de sistema de site remoto não instaladas no servidor do site e o próprio servidor do site.
Para aplicações de 32 bits que estão em execução em OSs de 32 bits e para aplicações de 64 bits que estão em execução em OSs de 64 bits, atualize os seguintes valores sub-chave:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v2.0.50727]
"SystemDefaultTlsVersions" = dword:00000001
"SchUseStrongCrypto" = dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions" = dword:00000001
"SchUseStrongCrypto" = dword:00000001
Para aplicações de 32 bits que estão em execução em OSs de 64 bits, atualize os seguintes valores sub-chave:
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v2.0.50727]
"SystemDefaultTlsVersions" = dword:00000001
"SchUseStrongCrypto" = dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions" = dword:00000001
"SchUseStrongCrypto" = dword:00000001
Nota
A SchUseStrongCrypto
definição permite que .NET utilize TLS 1.1 e TLS 1.2. A SystemDefaultTlsVersions
definição permite que .NET utilize a configuração de SO. Para mais informações, consulte as melhores práticas do TLS com o .NET Framework.