TLS 1.2 für Windows Server 2012 aktivieren funktioniert nicht

KoTm

Lt. Junior Grade
Registriert
Aug. 2006
Beiträge
370
Moin Moin,

wir haben einen noch gut laufenden Windows Server 2012 Essential der eine Webabfrage über eine URL schickt.
Bisher lief das wohl noch gut über TLS 1.1 , dies wurde nun aber von unserem Provider wegen Sicherheitsbedenken abgeschaltet.

Nun habe ich wie folgt versucht, TLS 1.2 als Standard für den Server zu setzten bzw. die älteren Versionen zu deaktivieren.

Folgendes ist bisher probiert worden:

  • Check Microsoft update 'kb3140245' is installed. check

  • KEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp\DefaultSecureProtocols is value '0x00000A00 check

  • HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp\DefaultSecureProtocols is value '0x00000A00 check

  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client
    "DisabledByDefault"=dword:00000000
    "Enabled"=dword:00000001 check

  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server
    "DisabledByDefault"=dword:00000000
    "Enabled"=dword:00000001 check
Leider tut sich auch nach Neustart nichts, die Webabfrage bricht weiterhin mit der Fehlermeldung ab "Es konnte kein geschützter SSL/TLS-Kanal erstellt werden"

Der Auslöser zwischen Provider TLS 1.1 Abstellung (heute morgen) und sofortiger Fehlermeldung im Protokoll ist zweifelsfrei nachvollziehbar.

Hat jemand hier ähnliche Windows Server 2012 Erfahrungen?

Das die WS2012 Mühle per se veraltet ist und keine Updates mehr bekommt ist bekannt. Dennoch sollte laut zahlreicher Einträge die Deaktivierung von TLS 1.1 bzw. Priorisierung von TLS 1.2 noch möglich sein.

https://support.microsoft.com/de-de...-windows-c4bd73d2-31d7-761e-0178-11268bb10392

https://support.site24x7.com/portal/en/kb/articles/how-to-check-if-tls-1-2-is-enabled

https://manage.accuwebhosting.com/k...to-enable-TLS-1.2-on-Windows-2012-Server.html

Vielen Dank für Eure Hilfe!
 
Zuletzt bearbeitet:
KoTm schrieb:
Hat jemand hier mehr Windows Server 2012 Erfahrung?
Ja: Abschalten (da keine Updates mehr) :)
Es heißt übrigens TLS und nicht TLC (das war u.a. ne Frauenband in den 90ern)

Enthält das Zertifikat einen SAN-Eintrag für den entsprechenden FQDN? Das wollen viele (oder inzwischen vermutlich alle) Browser haben, ob da aber ein Zusammenhang mit der TLS-Version besteht, weiß ich so nicht mehr.
 
  • Gefällt mir
Reaktionen: GTrash81, eigsi124, NameHere und eine weitere Person
kartoffelpü schrieb:
Ja: Abschalten (da keine Updates mehr) :)
Es heißt übrigens TLS und nicht TLC (das war u.a. ne Frauenband in den 90ern)

danke, ist korrigiert :p:p

Enthält das Zertifikat einen SAN-Eintrag für den entsprechenden FQDN? Das wollen viele (oder inzwischen vermutlich alle) Browser haben, ab da aber ein Zusammenhang mit der TLS-Version besteht, weiß ich so nicht mehr.

Puh, da muss ich kurz googeln...
 
Lass doch mal einen SSLTest laufen. Zum Kontrollieren/Korrigieren der Regkeys kann auch IIS Crypto herangezogen werden, um z.B. ebenfalls unsichere Ciphers zu deaktivieren.
 
  • Gefällt mir
Reaktionen: Cat Toaster, Der Lord, dahkenny und 3 andere
sieht für mich jetzt erstmal alles gut aus... Gutes Programm, danke schon mal dafür!
 

Anhänge

  • Screenshot 2024-06-04 142519.jpg
    Screenshot 2024-06-04 142519.jpg
    173 KB · Aufrufe: 181
Da TLS1.3 in deinem Screenshot auch grün ist, eben nochmal den Eingangspost gelesen. Kannst du das bitte genauer beschreiben:
KoTm schrieb:
Windows Server 2012 Essential der eine Webabfrage über eine URL schickt.
Also handelt es sich gar nicht um einen Webserver, sondern es wird nur eine URL von dort aufgerufen?
 
  • Gefällt mir
Reaktionen: Der Lord und M-X
Der Ausschnitt von SSL Labs kann nicht vom 2012 ISS sein, das sind moderne Cipher.

Ich denke der alte Windows Server soll auf diesen modernen Webserver zugreifen, was aber nicht gelingt da kein übereinstimmender Cipher vorhanden ist. Das wird nichts, da der alte Windows Server 2012 diese nicht hat (AES 256 GCM SHA 384, AES 128 GCM SHA 256, ChaCha20-Poly1305 SHA 265). Der kann maximal nur AES CBC 128/256.
 
Zuletzt bearbeitet:
Ich denke auch, es geht hier um eine HTTP-Clientanfrage an einen Webserver des Providers (der jetzt TLS 1.1 abgeschaltet hat). Dann müssen wir wissen, welcher Dienst/Software da eine HTTP-Anfrage stellt. Mal als Beispiel, du hast da den Firefox auf deinem Windows Server 2012 Essentials installiert und der macht diese HTTP-Anfrage, bringt es halt 0 die Security-Settings von 'Schannel' anzupassen, was Firefox nämlich gar nicht verwendet. Und bei 'Schannel' gibts soweit ich weiß auch eine Unterscheidung zwischen serverseitigen und clientseitigen Einstellungen.
 
  • Gefällt mir
Reaktionen: redjack1000, Der Lord, kartoffelpü und eine weitere Person
Zurück
Oben