[English]Kleine Sonntags-Frage im Hinblick auf die Transportverschlüsselung bei Datenverbindungen im Netzwerk bzw. ins Internet. Es gibt ja verschiedene Versionen der Protokolle zur Transportverschlüsselung und mit der Zeit entfällt aus Sicherheitsgründen beispielsweise die Unterstützung für TLS 1.0 etc. Aber welche TLS-Versionen werden durch die diversen Windows-Client und Server eigentlich unterstützt?
Anzeige
Transport Layer Security (TLS) ist ein Verschlüsselungsprotokoll zur sicheren Datenübertragung im Internet. TLS besteht aus den beiden Hauptkomponenten TLS Handshake (zum sicheren Schlüsselaustausch) und TLS Record (für die sichere Datenübertragung). Die neueste Version TLS 1.3 verwendet aus Sicherheitsgründen nur noch das Diffie-Hellman-Schlüsselaustausch Protokoll (DHE oder ECDHE). Aber welche TLS-Versionen werden durch die diversen Windows-Client und Server eigentlich unterstützt?
Ich bin die Tage über nachfolgenden Tweet auf diesen Artikel von Microsoft aufmerksam geworden. Windows Server 2022 verwendet bereits standardmäßig TLS 1.3 für die Internetkommunikation.
In einer Tabelle, im verlinkten Beitrag, listet Microsoft auf, welche Windows-Versionen (Client und Server) welche TLS-Version unterstützt. Bei den älteren Windows Clients und Servern sieht es mit einer Unterstützung für TLS 1.3 dürftig aus.
Anzeige
Anzeige
Gutes Tool zum setzen der Protokollversionen ist übrigens https://www.nartac.com/Products/IISCrypto . Kann aber leider noch kein TLS 1.3.
IIS-Crypto ist wirklich eine große Hilfe beim Konfigurieren von IIS. Aber wer meint, wenn er das Tool benutzt hat, dass er mit dem IIS fertig ist, der hat sich geschnitten!
https://techcommunity.microsoft.com/t5/itops-talk-blog/windows-server-101-hardening-iis-via-security-control/ba-p/329979
Das ist leider noch viel mehr Arbeit.
Der Name des Tools ist eigentlich irreführend. Denn das Tool ändert am IIS erst einmal nichts. Viel mehr werden im Windows (Server) die Konfigirationen von WinhTTP und SChannel geändert. D.h. in der Regel muss die Anwendung (z.B. IIS) ebenfalls noch angepasst werden.