捷维科技 9 月 2 日消息,科技媒体 Windows Report 昨日(9 月 1 日)发布博文,报道称Microsoft承认 Win11 系统默认启用的 TLS 1.3 协议存在 BUG,会破坏 IIS Express 处置推广客户端证书的能力。
这一问题同时在某些条件下影响完整版 IIS 服务器,根源在于 TLS 1.3 移除去早期版本支持的重协商(Renegotiation)机制。
该机制原本支持服务器在加密会话过程中请求推广客户端证书,而现在 IIS Express 仅能在初始 TLS 握手阶段进行证书验证,不然没办法完成认证步骤。
因为 IIS Express 依靠 Windows 系统的 http.sys 驱动处置 TLS 通信,其控制机会过晚会致使没办法干涉证书请求时序。
Microsoft现在未宣布永久修复策略,工程师 Matt Hamrick 提出了三项临时应付手段:
第一通过注册表编辑禁用入站 TLS 1.3,强制系统用 TLS 1.2;
第二用 netsh 工具修改 http.sys 绑定,让证书请求在初始握手阶段完成;
若均无效,则建议从配置文件中移除推广客户端证书需要。不过这类操作可能需要管理员权限,且可能在 Visual Studio 更新后被重置。
捷维科技简要介绍下重点术语:
TLS 1.3 全名 Transport Layer Security 1.3,传输层安全协议 1.3 版本,提供加密通信的互联网安全协议,相比早期版本简化握手过程并增强安全性
IIS Express 全名为 Internet Information Services Express,是轻量级版Microsoft网络信息服务,主要用于当地开发和测试环境。