XP POSReady和TLS1.2

Question

在安装了微软发布的KB4019276 -https://support.microsoft.com/en-us/help/4019276/update-to-add-support-for-tls-1-1-and-tls-1-2-in-windows并在注册表中启用它之后，我正在尝试在Windows XP POSReady上使用TLS1.2。

我测试它的简单代码是：

Option Explicit

Const   WinHttpRequestOption_SecureProtocols = 9
Const   SecureProtocol_SSL2 = 8, SecureProtocol_SSL3 = 32, _
        SecureProtocol_TLS1 = 128, SecureProtocol_TLS1_1 = 512, _
        SecureProtocol_TLS1_2 = 2048

Dim objHTTP
Set objHTTP = CreateObject("WinHttp.WinHttprequest.5.1")
objHTTP.open "GET", "https://www.howsmyssl.com/a/check", False
objHTTP.Option(WinHttpRequestOption_SecureProtocols) = SecureProtocol_TLS1_2
objHTTP.Send
If objHTTP.WaitForResponse(30) Then 'wait up to 30 seconds
    WScript.Echo "Status : " & objHTTP.Status & "<br />"
    WScript.Echo "Response Length : " & LenB(objHTTP.ResponseBody)
    WScript.Echo "Response Text : " & objHTTP.ResponseText
Else
    WScript.Write "Request timed out"
End If
Set objHTTP = Nothing

但是任何超过TLS 1.0的东西都会给我一个错误：

Invalid argument for Option

同时，禁用SSL 2.0、SSL 3.0和TLS 1.0时，我收到一个关于无法协商安全协议的错误。

有什么建议吗？

谢谢。

Answer 1

如果真的有同样的问题，在我的实验Winxp sp3 (所有进一步的更新包括在内)。我发现WINHTTP.DLL仍然没有包含接口调用函数SECUREPROTOCOL_TLS1_1以及SECUREPROTOCOL_TLS1_2。导致了"invalid option“错误。

所以，在标准的XP系统上不支持这种语法！

(winhttp.dll未更新)。ONly embeddedXP可能已打开接受此选项的更新的winhttp.dll文件。

我现在正在努力以某种方式获得更新的不祥的winhttp.dll。

结果将在此处报告。

Answer 2

各位。在XP中启用TLS 1.2的相关更新已于2018年2月18日重新发布。(KB4019276)。从MS UpdateCatalog下载。这是对2017年10月(明显有buggy)的初始版本的修正。现在可以正常工作了！

IE8中的功能:已启用TLS1.2

还包括: TLS会话票证支持

新的可用套件(howsmyssl.com、ssllab)：

TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 (0xc02b) FS 128 TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (0xc02f) FS 128 TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256 (0xcca9) FS 256 TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256 (0xcca8) FS 256 TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA (0xc00a) FS 256 TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA (0xc009) FS 128 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (0xc013) FS 128 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (0xc014) FS 256 TLS_DHE_RSA_WITH_AES_128_CBC_SHA (0x33) FS 128 TLS_DHE_RSA_WITH_AES_256_CBC_SHA (0x39) FS 256

EC支持的命名组: secp256r1、secp384r1、secp521r1

致以亲切的问候！

BerndP