在IIS上禁用TLS1.3

Question

在2020年7月的Windows之后，当我需要TLS1.2进行入站ERR_SSL_VERSION_OR_CIPHER_MISMATCH检查以避免ERR_SSL_VERSION_OR_CIPHER_MISMATCH错误时，IIS托管的网站就开始使用TLS1.3。如何禁用TLS 1.3？

Answer 1

微软的一篇关于传输层安全(TLS)注册表设置的文章描述了在SSL2.0、SSL3.0、TLS 1.0、TLS 1.1、TLS 1.2、DTLS1.0和DTLS1.2中是如何做到这一点的。没有理由相信TLS1.3会以任何其他方式来实现这一点，尽管还没有文档化。

还值得一提的是，您只创建键以更改TLS/SSL协议(Schannel SSP)中的默认值--这解释了为什么默认情况下这些键不存在。

禁用TLS1.3作为服务器协议

管理用于AD FS的SSL/TLS协议和密码套件更好地列出了实际的注册表项，并提供了PowerShell示例。下面是从那里修改的。

...using .reg文件(注册表编辑器)：

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.3\Server]
"DisabledByDefault"=dword:00000001
"Enabled"=dword:00000000

...using PowerShell:

New-Item `
   'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.3\Server' `
   -Force | Out-Null
    
New-ItemProperty `
   -path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.3\Server' `
   -name 'Enabled' -value '0' -PropertyType 'DWord' -Force | Out-Null
    
New-ItemProperty `
   -path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.3\Server' `
   -name 'DisabledByDefault' -value 1 -PropertyType 'DWord' -Force | Out-Null