Ένας υπάλληλος της Microsoft, ο Matt Hamrick, επιβεβαίωσε ότι οι αλλαγές στην προεπιλεγμένη χρήση του Transport Layer Security (TLS) 1.3 των Windows 11 επηρεάζουν τον τρόπο με τον οποίο οι Υπηρεσίες Πληροφοριών Διαδικτύου (IIS) και το IIS Express χειρίζονται τα αιτήματα πιστοποιητικών πελατών. Το πρόβλημα προκύπτει από την έλλειψη υποστήριξης από το TLS 1.3 για μια λειτουργία γνωστή ως «επαναδιαπραγμάτευση», καθώς ο τεχνολογικός γίγαντας λέει ότι αυτή η μείωση έγινε για να «διασφαλιστεί ότι η επαλήθευση ταυτότητας πελάτη είναι πάντα εμπιστευτική» και ότι επίσης «μειώνει τα δρομολόγια μετ' επιστροφής και το κόστος της CPU».
Φαίνεται λοιπόν ότι η Microsoft έκανε τα πράγματα πιο γρήγορα και πιο ασφαλή εις βάρος της συμβατότητας, τουλάχιστον στην περίπτωση ορισμένων πτυχών του λειτουργικού συστήματος.
Για όσους αναρωτιούνται, η επαναδιαπραγμάτευση TLS, διαθέσιμη στο TLS 1.2 και σε παλαιότερες εκδόσεις, επιτρέπει σε έναν διακομιστή να ξεκινήσει μια δεύτερη χειραψία εντός μιας υπάρχουσας κρυπτογραφημένης περιόδου λειτουργίας για να ζητήσει ένα πιστοποιητικό πελάτη. Στα Windows, αυτή η διαδικασία διαχειρίζεται από το πρόγραμμα οδήγησης συσκευής σε λειτουργία πυρήνα που ονομάζεται στοίβα HTTP (ή http.sys) σε συνδυασμό με το πακέτο ασφαλείας Schannel, με το IIS ή το IIS Express να λαμβάνουν τον έλεγχο μόνο μετά την ολοκλήρωση της χειραψίας.
Σε εκδόσεις πριν από τα Windows 11 24H2 και στον Windows Server 2022, το http.sys τερματίζει τη σύνδεση εάν ζητηθεί πιστοποιητικό προγράμματος-πελάτη αλλά δεν έχει διαπραγματευτεί αρχικά, όταν ο υπολογιστής-πελάτης δεν υποστηρίζει έλεγχο ταυτότητας μετά από χειραψία. Από τα Windows 11 24H2 και Windows Server 2025 και μετά, το http.sys επιστρέφει ένα σφάλμα "δεν υποστηρίζεται", επιτρέποντας στις υπηρεσίες IIS να στείλουν μια απόκριση HTTP 500 με κωδικό σφάλματος 0x80070032, που τεχνικά σημαίνει "ERROR_NOT_SUPPORTED".
Η Microsoft έχει εξηγήσει ότι βάσει του TLS 1.3, η επαναδιαπραγμάτευση δεν επιτρέπεται. Ενώ το πρωτόκολλο ορίζει μια εναλλακτική λύση που ονομάζεται έλεγχος ταυτότητας πελάτη μετά τη χειραψία, η Microsoft σημειώνει ότι οι περισσότεροι πελάτες, συμπεριλαμβανομένων των κύριων προγραμμάτων περιήγησης, δεν την έχουν εφαρμόσει.
Αυτός ο περιορισμός σημαίνει ότι, εκτός εάν ζητηθεί πιστοποιητικό προγράμματος-πελάτη κατά την αρχική χειραψία TLS, αυτό δεν μπορεί να ληφθεί αργότερα στην περίοδο λειτουργίας. Για τα IIS και IIS Express, τα οποία λειτουργούν αφού το http.sys επεξεργαστεί την χειραψία, απαιτείται προκαταρκτική ρύθμιση παραμέτρων για την υποβολή αιτημάτων πιστοποιητικών εκ των προτέρων.
Μέχρι τα τέλη Αυγούστου 2025, η Microsoft δεν είχε ανακοινώσει κάποια επιδιόρθωση για το IIS Express και ο Hamrick αναρωτιέται αν θα υπάρξει ποτέ κάποια, καθώς γράφει ότι «ειλικρινά δεν είναι σίγουρος αν θα υπάρξει κάποια επιδιόρθωση και πώς θα μοιάζει αν υπάρξει».
Ευτυχώς, έχει παράσχει ορισμένες λύσεις, οι οποίες περιλαμβάνουν την απενεργοποίηση του TLS 1.3 για εισερχόμενες συνεδρίες, την τροποποίηση των συνδέσεων http.sys μέσω netsh για την αίτηση πιστοποιητικών κατά την αρχική χειραψία ή την κατάργηση των απαιτήσεων πιστοποιητικών προγράμματος-πελάτη από τις ρυθμίσεις παραμέτρων της εφαρμογής.
Για όσους μπορεί να μην είναι εξοικειωμένοι, οι Υπηρεσίες Πληροφοριών Διαδικτύου (IIS) είναι ο πλήρως λειτουργικός, επεκτάσιμος διακομιστής ιστού της Microsoft για τη φιλοξενία ιστότοπων και εφαρμογών σε Windows. Οι Υπηρεσίες IIS βασίζονται στο πρόγραμμα οδήγησης πυρήνα HTTP.sys των Windows για τη διαχείριση της κρυπτογράφησης και αποκρυπτογράφησης TLS/SSL. Όταν διαμορφώνεται μια σύνδεση HTTPS, οι Υπηρεσίες IIS αποθηκεύουν τη σύνδεση στο applicationHost .config και τη μεταβιβάζουν στο HTTP.sys, το οποίο χρησιμοποιεί το σχετικό πιστοποιητικό για να διαπραγματευτεί το TLS με τους υπολογιστές-πελάτες πριν μεταβιβάσει τα αποκρυπτογραφημένα αιτήματα HTTP στις Υπηρεσίες IIS για επεξεργασία.
Εν τω μεταξύ, το IIS Express είναι μια ελαφριά, αυτόνομη έκδοση που βασίζεται στο IIS 7 και νεότερες εκδόσεις, η οποία είναι βελτιστοποιημένη για ανάπτυξη και δοκιμές. Σε αντίθεση με το IIS, το οποίο χρησιμοποιεί την Υπηρεσία ενεργοποίησης διεργασιών των Windows για τη διαχείριση τοποθεσιών και προορίζεται για παραγωγή, το IIS Express εκτελείται χωρίς να απαιτεί δικαιώματα διαχειριστή για διάφορες εργασίες και προσφέρει απλοποιημένη διαμόρφωση.
Μπορείτε να βρείτε την επίσημη ανάρτηση ιστολογίου εδώ, στον ιστότοπο της Τεχνολογικής Κοινότητας της Microsoft.
