Predvolené verzie rozhrania .NET framework 3.5 SP1 a staršie verzie neposkytli podporu pre aplikácie, ktoré môžu používať predvolené verzie systému Transport Layer Security (TLS) ako kryptografický protokol. Táto aktualizácia umožňuje používanie protokolu TLS v1.2 v .NET Framework 3.5 SP1.
PoznámkaTento obsah bol k dispozícii na stránke Windows Aktualizovať. Ak chcete získať obsah, vyhľadajte Windows, aby ste získali .NET Framework aktualizácie. Ak je váš systém úplne aktuálny prostredníctvom služby Windows Update, nie je potrebné urobiť ďalšie kroky.
Riešenie
Stiahnuť informácie
Rýchla oprava zodpovedajúca aktualizácii KB3154520 bola nahradená najnovšími aktualizáciami balíka .NET Framework, ktoré obsahujú všetky opravy, ktoré boli predtým súčasťou aktualizácie KB3154520. Odporúča sa nainštalovať najnovšie aktualizácie balíka .NET Framework.
Urobili sme v tejto oblasti tieto vylepšenia:
-
Nasledujúce kľúče databázy Registry je možné nastaviť na používanie predvolených operačných systémov SSL a TLS namiesto .NET Framework predvolených hodnôt spravovaných aplikácií spustených v počítači.
-
Pre 64-bitové operačné systémy:[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v2.0.50727]
"SystemDefaultTlsVersions"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v2.0.50727]
"SystemDefaultTlsVersions"=dword:00000001 -
Pre 32-bitové operačné systémy:[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v2.0.50727]
"SystemDefaultTlsVersions"=dword:00000001
Poznámka Ak aplikácia nastavila protokol ServicePointManager.SecureProtocol v kóde alebo konfiguračné súbory na konkrétnu hodnotu, alebo používa rozhrania API SslStream.AuthenticateAs* na určenie konkrétneho enum protokolu SslProtocols, správanie nastavenia databázy Registry sa nevyskytuje.
-
-
Okrem toho sme pridali enumeráciu SslProtocolsExtensions, ktorú môžete použiť ako možnosť nastavenia protokolu TLS v1.2, TLS v1.1, ako aj predvolené hodnoty operačného systému pre vlastnosť ServicePointManager.SecurityProtocol pri zameriavaní na .NET framework verzie 2.0 SP2. (Informácie o používaní rozšírení nájdete v časti Pokyny pre vývojárov.)
Poznámka: Windows Vista SP2 a Windows Server 2008 SP2 nepodporuje verzie protokolu TLS (Transport Layer Security), ktoré sú novšie ako 1.0. Spravované aplikácie balíka .NET Framework 2.0 SP2 spustené v balíku Windows Vista SP2 alebo Windows Server 2008 SP2 nemôžu používať protokol TLS 1.2 ani TLS 1.1, a to ani vtedy, ak sú tieto protokoly nastavené vo vlastnosti ServicePointManager.SecurityProtocol.
Ďalšie informácie o tom, ako stiahnuť súbory podpory spoločnosti Microsoft, zobrazíte kliknutím na číslo článku vedomostnej databázy Microsoft Knowledge Base:
119591 Ako získať súbory podpory spoločnosti Microsoft z online služieb, aby spoločnosť Microsoft skontrolovala tento súbor a neobsahuje vírusy. Spoločnosť Microsoft používala na najúbenejší softvér na zisťovanie vírusov, ktorý bol k dispozícii v deň, kedy bol súbor zverejnený. Súbor sa uloží na servery vylepšené zabezpečením, ktoré pomáhajú zabrániť neoprávneným zmenám v súbore.
Pokyny pre vývojárov
Definícia nových rozšírení je v týchto súboroch:
-
SecurityProtocolTypeExtensions.csnamespace System.Net
{
pomocou funkcie System.Security.Authentication;
public static class SecurityProtocolTypeExtensions
{
public const SecurityProtocolType Tls12 = (SecurityProtocolType)SslProtocolsExtensions.Tls12;
public const SecurityProtocolType Tls11 = (SecurityProtocolType)SslProtocolsExtensions.Tls11;
public const SecurityProtocolType SystemDefault = (SecurityProtocolType)0;
}
} -
SslProtocolsExtensions.csnamespace System.Security.Authentication
{
public static class SslProtocolsExtensions
{
public const SslProtocols Tls12 = (SslProtocols)0x00000C00;
public const SslProtocols Tls11 = (SslProtocols)0x00000300;
}
}
Ak chcete zahrnúť podporu protokolu TLS v1.2, zadajte do projektu zdrojové súbory a potom nastavte verziu protokolu nasledujúcimi spôsobmi:
-
Aplikácie, ktoré používajú rozhrania API typu ServicePointManager, môžu protokol nastaviť takto:
System.Net.ServicePointManager.SecurityProtocol = SecurityProtocolTypeExtensions.Tls12; -
Aplikácie, ktoré používajú preťaženie SslStream AuthenticateAsClient(String, X509CertificateCollection, SslProtocols, Boolean), môžu nastaviť hodnotu SslProtocols na hodnotu SslProtocolsExtensions.Tls12.
Ak je databáza Registry uvedená v prvom odseku nastavená a v aplikácii je hodnota SslProtocols nastavená na možnosť SslProtocols.None, vyberie sa predvolené správanie systému, ktoré bude závisieť od verzie operačného Windows systému.
Aj pri zmene kódu aplikácie tak, aby sa technická podpora pre TLS v1.2 so systémom .NET Framework 3.5 SP1 zabezpečilo v počítačoch, v ktorých táto oprava nie je nasadená, by ste mali umožniť použitie týchto výnimiek:
-
Ak rýchla oprava nie je nainštalovaná, rozhrania API typu ServicePointManager (HTTP, FTP, SMTP) vyhodí reťazec System.NotSupportedException: Požadovaný protokol zabezpečenia nie je podporovaný. Keď aplikácia volá ServicePointManager.SecurityProtocol a nastaví novú hodnotu.
-
Ak rýchla oprava nie je nainštalovaná, pri volaní rozhrania API AuthenticateAs* sa pri volaní rozhrania API AuthenticateAs* vyhodí protokol SSLStream:
System.ArgumentException: Zadaná hodnota nie je platná v enumerácii SslProtocolType.
Názov parametra: sslProtocolType
Poznámka Len pre protokol SslStream je to kombinácia protokolu Tls12, Tls11 s ľubovoľným z existujúcich tls, Ssl3, Ssl2 (napríklad: Tls12 | Tls11 | Tls) potichu pre staršiu verziu na existujúce protokoly (napríklad: Tls) v systéme bez opravy. Spojí sa s Tls bez toho, aby zahodí výnimku.
Ďalšie informácie
Ak chcete povoliť protokol TLS v1.1 alebo v1.2 ako predvolený operačný systém, postupujte podľa pokynov v časti https://technet.microsoft.com/en-us/library/dn786418(v=ws.11).aspx#BKMK_SchannelTR_TLS12.
Poznámka TLS v1.1 a v1.2 nie je k dispozícii vo Windows Vista alebo Windows Serveri 2008.
Ak je potrebné vypnúť predvolené nastavenia operačného systému nastavené kľúčom databázy Registry, ktorý bol pre konkrétne aplikácie uvedený vyššie, môžete to urobiť pridaním nasledujúceho kľúča databázy Registry:HKEY_LOCAL_MACHINE\SOFTWARE\[Wow6432Node\]Microsoft\.NETFramework\v2.0.50727\System.Net.ServicePointManager.SystemDefaultTlsVersions
<<Úplná cesta k súboru .exe pre súbor>> DWORD 0
C:\MyApp\MyApp.exe DWORD 0
Ďalšie informácie o TLS v1.2 nájdete v téme Úvod do TLS v1.2.
Po zapnutí kľúča databázy Registry SystemDefaultTlsVersions .NET sa pri každej verzii databázy Windows iné správanie, ako je uvedené v nasledujúcej tabuľke.
|
Windows verzia |
SSL2 Klient |
SSL2 Server |
Klient SSL3 |
SSL3 Server |
Klient TLS 1.0 |
TLS 1.0 Server |
Klient TLS 1.1 |
TLS 1.1 Server |
Klient TLS 1.2 |
TLS 1.2 Server |
|---|---|---|---|---|---|---|---|---|---|---|
|
Windows Vista SP2 a Windows Server 2008 SP2 |
Vypnuté |
V |
V |
V |
V |
V |
Nie je k dispozícii |
Nie je k dispozícii |
Nie je k dispozícii |
Nie je k dispozícii |
|
Windows 7 SP1 a Windows Server 2008 R2 SP1 |
Vypnuté |
V |
V |
V |
V |
V |
Vypnuté |
Vypnuté |
Vypnuté |
Vypnuté |
|
Windows Server 2012 |
Vypnuté |
Vypnuté |
V |
V |
V |
V |
V |
V |
V |
V |
|
Windows 8.1 a Windows Server 2012 R2 |
Vypnuté |
Vypnuté |
V |
V |
V |
V |
V |
V |
V |
V |
|
Windows 10 |
Vypnuté |
Vypnuté |
V |
V |
V |
V |
V |
V |
V |
V |
|
Windows 10 (1511) |
Vypnuté |
Vypnuté |
V |
V |
V |
V |
V |
V |
V |
V |
|
Windows 10 (1607) a Windows Server 2016 |
Nie je k dispozícii |
Nie je k dispozícii |
Vypnuté |
Vypnuté |
V |
V |
V |
V |
V |
V |
