Aggiornamento per abilitare TLS 1.1 e 1.2 TLS come protocolli di protezione predefinito in WinHTTP in Windows

Si applica a: Windows Server 2012 DatacenterWindows Server 2012 StandardWindows Server 2012 Essentials

Questo aggiornamento supporta TLS (Transport Layer Security) 1.1 e TLS 1.2 in Windows Server 2012, Windows 7 Service Pack 1 (SP1) e Windows Server 2008 R2 SP1.

Informazioni su questo aggiornamento


Applicazioni e servizi che vengono scritte utilizzando WinHTTP per le connessioni Secure Sockets Layer (SSL) che utilizzano il flag WINHTTP_OPTION_SECURE_PROTOCOLS non è in grado di utilizzare protocolli TLS 1.1 o TLS 1.2. Questo accade perché la definizione di questo flag non include questi servizi e applicazioni.

Questo aggiornamento aggiunge il supporto per una voce del Registro di sistema DefaultSecureProtocols che consente all'amministratore di sistema specificare i protocolli SSL devono essere utilizzati quando viene utilizzato il flag WINHTTP_OPTION_SECURE_PROTOCOLS.

Ciò può consentire determinate applicazioni che sono state create per utilizzare il flag predefinito WinHTTP per essere in grado di sfruttare la più recente TLS 1.2 o protocolli TLS 1.1 in modo nativo senza che sia necessario per gli aggiornamenti all'applicazione.

Questo è il caso per alcune applicazioni di Microsoft Office quando aprono documenti da una raccolta di SharePoint o una cartella Web, tunnel IP-HTTPS per la connettività di DirectAccess e altre applicazioni utilizzando tecnologie quali WebClient utilizzando WebDav, gestione remota Windows, e altri utenti.

Questo aggiornamento richiede che il componente di canale sicuro (Schannel) in Windows 7 deve essere configurato per supportare TLS 1.1 e 1.2. In queste versioni di protocollo non sono attivate per impostazione predefinita in Windows 7, è necessario configurare le impostazioni del Registro di sistema per assicurarsi che le applicazioni di Office è possono utilizzare correttamente TLS 1.1 e 1.2.

Questo aggiornamento non verrà modificato il comportamento delle applicazioni che si sta impostando manualmente i protocolli di protezione invece di passare il flag predefinito.

Come ottenere questo aggiornamento


Importante Se si installa un Language Pack dopo aver installato questo aggiornamento, è necessario reinstallare questo aggiornamento. Pertanto, si consiglia di installare qualsiasi Language Pack di cui si ha bisogno prima di installare questo aggiornamento. Per ulteriori informazioni, vedere aggiunta di language pack per Windows.

Metodo 1: Windows Update

Questo aggiornamento è disponibile come aggiornamento consigliato su Windows Update. Per ulteriori informazioni su come eseguire Windows Update, vedere Come ottenere un aggiornamento tramite Windows Update.

Metodo 2: Catalogo di Microsoft Update

Per ottenere il pacchetto autonomo per questo aggiornamento, visitare il sito Web Microsoft Update Catalog .

Dettagli sull'aggiornamento

Requisiti

Per applicare questo aggiornamento, è necessario installare Service Pack 1 per Windows 7 o Windows Server 2008 R2.

Non vi è alcun prerequisito per applicare questo aggiornamento per Windows Server 2012.

Informazioni sul Registro di sistema

Per applicare questo aggiornamento, è necessario aggiungere la sottochiave del Registro di sistema DefaultSecureProtocols.Nota: A tale scopo, è possibile aggiungere manualmente la sottochiave del Registro di sistema o installare il "facile da risolvere" per popolare la sottochiave del Registro di sistema.

Richiesta di riavvio

Potrebbe essere necessario riavviare il computer dopo aver applicato questo aggiornamento.

Informazioni sulla sostituzione dell'aggiornamento

Questo aggiornamento non sostituisce un aggiornamento rilasciato in precedenza.

Ulteriori informazioni


Pagamento carta di settore (PCI) richiede TLS 1.1 o TLS 1.2 per verificarne la conformità.

Per ulteriori informazioni sul flag WINHTTP_OPTION_SECURE_PROTOCOLS, vedere Flag di opzione.

Funzionamento della voce di registro DefaultSecureProtocols

Importante Questa sezione, metodo o attività contiene passaggi su come modificare il Registro di sistema. Tuttavia, una modifica errata del registro di sistema potrebbe causare gravi problemi. Pertanto, assicurarsi di seguire attentamente i passaggi. Per maggiore protezione, eseguire il backup del Registro di sistema prima di modificarlo. Cosicché sia possibile ripristinare il Registro di sistema se si verifica un problema. Per ulteriori informazioni su come eseguire il backup e ripristinare il Registro di sistema, vedere eseguire il backup e ripristinare il Registro di sistema Windows.

Quando un'applicazione specifica WINHTTP_OPTION_SECURE_PROTOCOLS, il sistema di controllo per la voce del Registro di sistema DefaultSecureProtocols e se presente ignorare i protocolli predefiniti specificati da WINHTTP_OPTION_SECURE_PROTOCOLS con i protocolli specificati in la voce del Registro di sistema. Se la voce del Registro di sistema non è presente, WinHTTP utilizzerà le impostazioni predefinite del sistema operativo esistente per vincere WINHTTP_OPTION_SECURE_PROTOCOLS HTTP. Queste impostazioni predefinite di WinHTTP seguono le regole di precedenza esistente e vengono sostituite dai protocolli disattivati SCHANNEL e protocolli impostato per ogni applicazione da WinHttpSetOption.

Nota: Il programma di installazione hotfix non aggiunge il valore di DefaultSecureProtocols. L'amministratore deve aggiungere manualmente la voce dopo aver determinato i protocolli di override. In alternativa, è possibile installare il "facile da risolvere" per aggiungere automaticamente la voce.

La voce del Registro di sistema DefaultSecureProtocols può essere aggiunti nel seguente percorso:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp

Nei computer basati su x64, DefaultSecureProtocols deve essere aggiunto anche al percorso di Wow6432Node:

HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp

Il valore del Registro di sistema è una bitmap DWORD. Il valore da utilizzare viene determinato aggiungendo i valori corrispondenti ai protocolli desiderati.

Valore DefaultSecureProtocols Protocollo abilitato
0x00000008 Abilitare SSL 2.0 per impostazione predefinita
0x00000020 Attivare SSL 3.0 per impostazione predefinita
0x00000080 Abilitare TLS 1.0 per impostazione predefinita
0x00000200 Abilitare TLS 1.1 per impostazione predefinita
0x00000800 Abilitare TLS 1.2 per impostazione predefinita

Ad esempio:

L'amministratore intende sostituire i valori predefiniti per WINHTTP_OPTION_SECURE_PROTOCOLS specificare TLS 1.1 e 1.2 TLS.

Assumere il valore per TLS 1.1 (0x00000200) e il valore per TLS 1.2 (0x00000800), quindi sommarli nella Calcolatrice (in modalità programmatore) e il valore del Registro di sistema risultante sarebbe 0x00000A00.

Facile da risolvere

Per aggiungere la sottochiave del Registro di sistema DefaultSecureProtocols automaticamente, fare clic sul pulsante Download . Nella finestra di dialogo Download File fare clic su Aprio Esegui e quindi seguire le istruzioni della procedura guidata facile da risolvere.

Note

  • La procedura guidata potrebbe essere disponibile solo in inglese. La correzione automatica, tuttavia, funziona anche per versioni di Windows in altre lingue.
  • Se non si è sul computer che presenta il problema, salvare la soluzione facile da risolvere per un'unità memoria flash o un CD e quindi eseguirlo sul computer che presenta il problema.

Nota: Oltre la sottochiave del Registro di sistema DefaultSecureProtocols, facile da risolvere aggiunge anche il SecureProtocols nel seguente percorso in modo da consentire TLS 1.1 e 1.2 per Internet Explorer.

La voce del Registro di sistema SecureProtocols con valore 0xA80 per l'attivazione di TLS 1.1 e 1.2 verrà aggiunti nei seguenti percorsi:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings

Abilitare TLS 1.1 e 1.2 in Windows 7 a livello di componente SChannel

Per ogni articolo impostazioni SSL-TLS, per TLS 1.1 e 1.2 per essere attivato e negoziati in Windows 7, è necessario creare la voce "DisabledByDefault" nella sottochiave appropriata (Client) e impostarlo su "0". Non verrà create queste sottochiavi del Registro di sistema poiché questi protocolli sono disattivati per impostazione predefinita.

Creare le sottochiavi necessarie per TLS 1.1 e 1.2; creare i valori DWORD DisabledByDefault e impostarlo su 0 nelle seguenti posizioni:

Per TLS 1.1

Percorso del Registro di sistema: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\ClientNome DWORD: DisabledByDefaultValore DWORD: 0

Per TLS 1.2

Percorso del Registro di sistema: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\ClientNome DWORD: DisabledByDefaultValore DWORD: 0

Informazioni sui file


La versione inglese (Stati Uniti) di questo aggiornamento software consente di installare file con gli attributi elencati nelle tabelle seguenti.

Riferimenti


Informazioni sulla terminologia utilizzata da Microsoft per descrivere gli aggiornamenti software.