Atualização para ativar o TLS 1.1 e o TLS 1.2 como protocolos seguros padrão no WinHTTP no Windows

Aplica-se a: Windows Server 2012 DatacenterWindows Server 2012 StandardWindows Server 2012 Essentials Mais

Esta atualização oferece suporte para segurança de camada de transporte (TLS) 1.1 e o TLS 1.2 no Windows Server 2012, o Windows 7 Service Pack 1 (SP1) e Windows Server 2008 R2 SP1.

Sobre esta atualização


Aplicativos e serviços que são escritos usando WinHTTP para conexões Secure Sockets Layer (SSL) que usam o sinalizador WINHTTP_OPTION_SECURE_PROTOCOLS não é possível usar protocolos TLS 1.1 ou TLS 1.2. Isso ocorre porque a definição desse sinalizador não incluir esses aplicativos e serviços.Essa atualização adiciona suporte para a entrada de registro de DefaultSecureProtocols que permite que o administrador do sistema especificar quais protocolos SSL devem ser usados quando o sinalizador WINHTTP_OPTION_SECURE_PROTOCOLS é usado.Isso pode permitir que certos aplicativos criados para usar o sinalizador de padrão de WinHTTP para poder aproveitar o TLS 1.2 mais recente ou protocolos TLS 1.1 nativamente sem necessidade de atualizações para o aplicativo.Esse é o caso de alguns aplicativos do Microsoft Office ao abrir documentos de uma biblioteca do SharePoint ou uma pasta da Web, túneis de IP-HTTPS para conectividade do DirectAccess e outros aplicativos usando tecnologias como WebClient usando WebDav, WinRM, e outras pessoas.
Esta atualização requer que o componente de canal seguro (Schannel) no Windows 7 sejam configurados para oferecer suporte a TLS 1.1 e 1.2. Como essas versões do protocolo não são ativadas por padrão no Windows 7, você deve configurar as configurações do registro para garantir que aplicativos do Office podem usar com êxito o TLS 1.1 e 1.2.Essa atualização não irá alterar o comportamento de aplicativos que são definir manualmente os protocolos seguros em vez de passar o sinalizador padrão.

Como obter esta atualização


Importante Se você instalar um pacote de idiomas depois de instalar esta atualização, será necessário reinstalar esta atualização. Portanto, recomendamos que você instale qualquer pacote de idiomas necessário antes de instalar esta atualização. Para obter mais informações, consulte Adicionar pacotes de idiomas ao Windows.

Método 1: Windows Update

Esta atualização é fornecida como uma atualização recomendada no Windows Update. Para obter mais informações sobre como executar o Windows Update, consulte Como obter uma atualização com o Windows Update.

Método 2: Catálogo do Microsoft Update

Para obter o pacote autônomo desta atualização, acesse o site do Catálogo do Microsoft Update.

Informações detalhadas de atualizações

Pré-requisitos

Para aplicar essa atualização, você deve instalar o Service Pack 1 para o Windows 7 ou Windows Server 2008 R2. Não há nenhum pré-requisito para aplicar esta atualização no Windows Server 2012.

Informações do Registro

Para aplicar essa atualização, a subchave de registro DefaultSecureProtocols deve ser adicionada.Observação Para fazer isso, você pode adicionar a subchave do registro manualmente ou instale a "correção fácil" para preencher a subchave do registro.

Requisitos de reinicialização

Talvez seja necessário reiniciar o computador após aplicar essa atualização.

Informações sobre substituição da atualização

Esta atualização não substitui qualquer outra lançada anteriormente.

Informações adicionais


Setor de cartões de pagamento (PCI) requer TLS 1.1 ou TLS 1.2 para fins de conformidade.Para obter mais informações sobre o sinalizador WINHTTP_OPTION_SECURE_PROTOCOLS, consulte Sinalizadores de opção.

Como funciona a entrada do registro DefaultSecureProtocols

Importante Este método, seção ou tarefa contém etapas que informam como modificar o Registro. Entretanto, sérios problemas poderão ocorrer caso você modifique o Registro incorretamente. Portanto, siga essas etapas cuidadosamente. Para obter mais proteção, faça backup do Registro antes de modificá-lo. Dessa forma, você poderá restaurar o Registro se ocorrer um problema. Para obter mais informações sobre como fazer backup e restaurar o registro, consulte como fazer backup e restaurar o registro no Windows.Quando um aplicativo especifica WINHTTP_OPTION_SECURE_PROTOCOLS, o sistema verificará da entrada do registro DefaultSecureProtocols e se houver substituem os protocolos padrão especificados por WINHTTP_OPTION_SECURE_PROTOCOLS com os protocolos especificados em a entrada do registro. Se a entrada do registro não estiver presente, o WinHTTP usará os padrões do sistema operacional existente para ganhar WINHTTP_OPTION_SECURE_PROTOCOLS HTTP. Esses padrões de WinHTTP siga as regras de precedência existentes são anuladas pelos protocolos SCHANNEL desativado e protocolos por aplicativo por WinHttpSetOption.Observação O instalador do hotfix não adiciona o valor de DefaultSecureProtocols. O administrador deve adicionar manualmente a entrada após determinar os protocolos de substituição. Ou, você pode instalar o "fácil corrigir o problema" para adicionar a entrada automaticamente.A entrada de registro DefaultSecureProtocols pode ser adicionada no seguinte caminho:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp
Em computadores baseados em x64, DefaultSecureProtocols também deve ser adicionado ao caminho Wow6432Node:
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp

O valor do registro é um bitmap DWORD. O valor a ser usado é determinado adicionando-se os valores correspondentes aos protocolos desejados.

DefaultSecureProtocolsValor Protocolo está ativado
0x00000008 Habilitar o SSL 2.0 por padrão
0x00000020 Habilitar SSL 3.0 por padrão
0x00000080 Habilitar TLS 1.0 por padrão
0x00000200 Habilita o TLS 1.1 por padrão
0x00000800 Habilitar TLS 1.2 por padrão
Por exemplo:O administrador deseja substituir os valores padrão de WINHTTP_OPTION_SECURE_PROTOCOLS especificar o TLS 1.1 e o TLS 1.2.Se o valor para o TLS 1.1 (0x00000200) e o valor para o TLS 1.2 (0x00000800), adicioná-los na Calculadora (no modo Programador) e o valor do registro resultante seria 0x00000A00.

Fácil corrigir o problema

Para adicionar a subchave de registro DefaultSecureProtocols automaticamente, clique no botão Download . Na caixa de diálogo Download de Arquivos, clique em Executar ou em Abrir e siga as etapas no assistente de correção.Observações
  • Esse assistente pode estar apenas em inglês. No entanto, a correção automática também funciona em versões do Windows em outros idiomas.
  • Se você não estiver no computador que apresentou o problema, salve a solução fix fácil em uma unidade flash ou um CD e execute-o no computador que apresentou o problema.
Observação Além da subchave de registro DefaultSecureProtocols , a correção fácil também adiciona o SecureProtocols no local a seguir para ajudar a ativar o TLS 1.1 e 1.2 do Internet Explorer.A entrada do registro SecureProtocols tem valor 0xA80 para ativar o TLS 1.1 e 1.2 será adicionada nos seguintes caminhos:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings
Configurações de HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet

Ativar o TLS 1.1 e 1.2 no Windows 7 no nível do componente SChannel

Pelo artigo configurações SSL TLS, para o TLS 1.1 e 1.2 sejam habilitadas e negociada no Windows 7, você deve criar a entrada "DisabledByDefault" na subchave apropriada (cliente) e defina-o como "0". Essas subchaves não serão criadas no registro uma vez que esses protocolos são desabilitados por padrão.

Criar subchaves necessárias para o TLS 1.1 e 1.2; criar valores de DisabledByDefault DWORD e defina-o como 0 nos seguintes locais:

Para que o TLS 1.1

Local do registro: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\ClientNome da DWORD: DisabledByDefaultValor DWORD: 0

Para que o TLS 1.2

Local do registro: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client  Nome da DWORD: DisabledByDefaultValor DWORD: 0 

Informações sobre os arquivos


A versão em inglês (Estados Unidos) desta atualização de software instala arquivos que têm os atributos listados nas seguintes tabelas.

Referências


Saiba mais sobre a terminologia que a Microsoft usa para descrever atualizações de software.