Wer Windows Server 2012 oder höher nicht einsetzen kann oder will und deshalb noch immer auf Windows Server 2008 R2 setzt, wird irgendwann zwangsläufig feststellen müssen, dass die Verschlüsselungsmethoden TLS 1.1 bzw. TLS 1.2 zum Betrieb einer SSL gesicherten Internetseite inzwischen unabdingbar sind.
Gerade im E-Commerce Bereich verweigern zahlreiche Zahlungsabwickler wie z.B. PayPal oder Stripe inzwischen die Kommunikation mit dem Server, sofern es sich dabei nicht um eine TLS 1.1 bzw. TLS 1.2 gesicherte Verbindung handelt.
Auch die gängigsten Browser warnen inzwischen vor gesicherten Verbindungen, sofern es sich dabei nicht mindestens um eine TLS 1.1 Verbindung handelt.
Wenn Sie SSL gesicherte Internetseiten auf dem Windows Server 2008 R2 hosten, die noch immer nicht mindestens TLS 1.1 verwenden, ist es spätestens jetzt höchste Zeit zum Handeln.
Die gute Nachricht ist, dass Windows Server 2008 R2 von Haus aus TLS 1.1 sowie TLS 1.2 unterstützt, die weniger schöne, aber dennoch nicht schlechte Nachricht ist, dass es nicht per Standard aktiviert ist.
Damit diese neueren Verschlüsselungsmethoden im IIS 7.5 somit verwendet werden können, muss mann diese manuell aktivieren, was recht einfach durch wenige Eingriffe in die Windows-Registry zu bewerkstelligen ist.
Aktivierung von TLS 1.1
Für die Aktivierung von TLS 1.1 müssen der Windows-Registry folgende Werte hinzugefügt werden:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Client\DisabledByDefault = [REG_DWORD] = 0 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Client\Enabled = [REG_DWORD] = 1 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Server\DisabledByDefault = [REG_DWORD] = 0 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Server\Enabled = [REG_DWORD] = 1
Aktivierung von TLS 1.2
Für die Aktivierung von TLS 1.2 müssen der Windows-Registry folgende Werte hinzugefügt werden:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client\DisabledByDefault = [REG_DWORD] = 0 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client\Enabled = [REG_DWORD] = 1 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server\DisabledByDefault = [REG_DWORD] = 0 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server\Enabled = [REG_DWORD] = 1
Anschließend ist ein Neustart des Systems zwingend erforderlich, da die gerade gesetzten Einstellungen ansonsten nicht greifen.
Wer die Windows-Registry nicht manuell bearbeiten möchte, findet hier zwei ZIP-Dateien, welche jeweils eine REG-Datei zum Aktivieren von TLS 1.1 bzw. TLS 1.2 beinhaltet.
Hierzu bitte einfach die entsprechende ZIP-Datei herunterladen und die sich darin befindliche REG-Datei durch Doppelklick ausführen und alle beiden Sicherheitsabfragen mit „Ja“ bestätigen.
Klasse Erklärung und super Service mit den ZIP-Dateien. Vielen Dank!
Auch von meiner Seite, Dankeschön; erster Treffer bei Google, und das Ergebnis hat sofort funktioniert.
Ich hoffe, wir bekommen die zwei letzten Windows Server 2008 R2 möglichst bald weg.
Hallo Leute ! Das ZIP für die Aktivierung von TSL 1.2 funktioniert nicht nur auf Server 2008R2, sondern auch auf Server 2008 einwandfrei. Eben auf 2 Stück 2008 erfolgreich durchgeführt !