Transport Layer Security bei alten Server Betriebssystemen

Wir stoßen immer wieder auf die Problematik, dass Kunden zum Beispiel noch einen Windows 2012 Server* im Einsatz haben. Ab Windows Server 2008 R2 wird TLS 1.2 zwar unterstützt, was aber nicht heisst das es aktiv ist bzw. das man es einfach aktiveren kann. Wir wollen euch folgende Möglichkeiten aufzeigen wie es ohne viel Aufwand funktioniert.

*Der Support von Windows 2012 / R2 Server läuft bis:

• Main Support Ende 10. September 2018
• Erweiterter Support Ende 10. Oktober 2023

Dazu gibt es mehrere Wege:

WICHTIG: Macht immer ein Backup bevor Ihr am System Änderungen vornehmt !!!

1) IIS Crypto

IIS Crypto ist ein kostenloses Tool, mit dem Administratoren die Möglichkeit haben, Protokolle, Chips, Hashes- und Schlüsselaustauschalgorithmen in Windows Server 2008, 2012, 2016 und 2019 zu aktivieren oder zu deaktivieren.

2) Durch manuelles setzen diverser Registrierungsschlüssels (Windows Server 2008 SP2 oder später)

1. Launch regedit.exe.
2. In registry, go to:
   

   HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSCHANNELProtocols

3. Create a new DWORD entry with a name TLS 1.2 and create another subkey Client and Server.
4. Under the subkey Server, create another DWORD Enabled with a value of 1.
5. Still under the subkey Server, create a DWORD DisabledByDefault with a value of 0.
6. You must create a subkey DisabledByDefault entry in the appropriate subkey (Client, Server) and set the DWORD value to 0 since this entry is set to 1 by default.
7. Reboot the Server and test!

 

Was ist TLS?

Transport Layer Security (TLS, englisch für Transportschichtsicherheit), auch bekannt unter der Vorgängerbezeichnung Secure Sockets Layer (SSL), ist ein Verschlüsselungsprotokoll zur sicheren Datenübertragung im Internet.

TLS besteht aus den beiden Hauptkomponenten TLS Handshake und TLS Record. Im TLS Handshake findet ein sicherer Schlüsselaustausch und eine Authentisierung statt. TLS Record verwendet dann den im TLS Handshake ausgehandelten symmetrischen Schlüssel für eine sichere Datenübertragung – die Daten werden verschlüsselt und mit einem MAC gegen Veränderungen geschützt übertragen.

Für den Schlüsselaustausch sind in den älteren TLS-Versionen verschiedene Algorithmen mit unterschiedlichen Sicherheitsgarantien im Einsatz. Die neueste Version TLS 1.3^[1] verwendet allerdings nur noch das Diffie-Hellman-Schlüsselaustausch Protokoll (DHE oder ECDHE). Dabei wird für jede Verbindung ein neuer Sitzungsschlüssel (Session Key) ausgehandelt. Da dies ohne Verwendung eines Langzeitschlüssels geschieht, erreicht TLS 1.3 Perfect Forward Secrecy.  (Quelle Wikipedia)