在旧的Windows系统上使用TLS1.2

Question

我有一个用.Net Framework2.0编写的Windows程序，它可以与专有服务器应用程序通信。服务器最近被更新为使用TLS1.2进行安全通信，我的客户端程序不能再和它交谈了。

谷歌搜索的几个来源表明，TLS1.2只支持Windows 7，Windows2008 R2和更高版本的系统。这些资源涉及的是服务器，而不是客户端，但听起来好像我运气不佳，除非我在Win7或更高版本上运行我的客户机--底层的schannel.dll根本不支持TLS1.2协议。

所以我的问题是：

在较旧的Windows系统上运行时，是否有办法让我的程序使用TLS1.2进行通信？

Answer 1

我怀疑您是否能够使用当前的应用程序在旧版本的windows上提供TLS1.2 (或TLS1.1)。.Net框架使用操作系统的底层schannel实现，并且这个库没有更新，而且可能永远不会用于支持TLS1.1或TLS1.2的Vista或更低版本。

您可能尝试使用不同的SSL库，例如OpenSSL或NSS (由火狐和Chrome使用)，这些库不受schannel的限制。OpenSSL似乎在http://sourceforge.net/projects/openssl-net/上为.NET提供了一个接口，但这只声称它只支持OpenSSL 1.0.0d，因此还不支持TLS1.2 (在OpenSSL 1.0.1中引入)。因此，使用.Net可能无法做到这一点。

可以做的另一件事是设置服务器，使其不仅支持TLS1.2，而且支持TLS1.0。在大多数情况下，这仍然提供了足够的安全性(大多数服务器只使用TLS1.0)，前提是您使用正确的密码。通常，在服务器上支持多个TLS版本是一个简单的设置，因此如果可能的话，它将讨论TLS1.2，但如果客户端不支持TLS1.2，则降低到TLS1.0。