TLS 1.3 und Windows Server 2019

[mabu]

Hallo.

Ich habe am Freitag das Powershell-Skript zur Härtung eines Windows-Servers (https://www.nospamproxy.de/de/bsz/) auf unserer GW-Rolle eingesetzt. Damit werden ja ältere und nicht mehr sichere Protokolle, Cipher Suites, usw deaktiviert. Dabei wird aber auch TLS 1.3 aktiviert.

Im Nachgang ist mir aufgefallen, dass Windows Server 2019 TLS 1.3 gar nicht unterstützt. Aber anscheinend lassen sich die Reg-Keys setzen und die haben evtl. sogar Nebenwirkungen. Zumindest liest sich das in diesem Artikel hier so https://ingoboettcher.wordpress.com...tls-1-3-unter-windows-server-2019-aktivieren/ (der ist aber von 2021 und es scheint auch weiterhin keinen TLS 1.3 Support unter Server 2019 zu geben).

Ein SSL-Check von extern zeigt, dass TLS 1.3 nicht aktiviert ist.

Wollte das hier nur mitteilen. Bin mit dem NSP-Support in Kontakt, da ich noch klären möchte, was ich aus dem Powershell-Skript bezogen auf Windows Server 2019 nun doch besser wieder zurücknehmen sollte von erfolgten Einstellungen.

Hat jemand praktische Erfahrungen mit dem Aktivieren von TLS 1.3 auf einem Windows Server 2019? Also gab es tatsächlich Nebenwirkungen?

IIS Crypto zeigt in der Auswahl TLS 1.3 gar nicht erst an.

 

[Sören]

Hat jemand praktische Erfahrungen mit dem Aktivieren von TLS 1.3 auf einem Windows Server 2019?

nein, weil es kein TLS1.3 für Server 2019 gibt ^^ Verstehe auch gar nicht wie der Typ auf die Idee kommt, reg keys zu setzen und dann zu hoffen das das klappen könnte

Selbst bei einem inplace upgrade von 2019 auf 2022 bekommt man kein TLS1.3 (ich würde auch meine Hand dafür ins Feuer legen, dass das niemals kommen wird)

aber hey...er hat ja die Lösung gefunden (manchmal hilft das)

Das Klatschen der Hand auf die Stirn wird spätestens jetzt mit einem deutlich hörbaren Stöhnen untermalt…

 

[JanJäschke]

TLS 1.3 ist nicht unter Windows Server 2019 verfügbar (https://learn.microsoft.com/de-de/windows/win32/secauthn/protocols-in-tls-ssl--schannel-ssp-)
MS kommentiert sogar dazu:
"Das Aktivieren von TLS 1.3 in früheren Versionen von Windows ist keine sichere Systemkonfiguration."

 

[mabu]

Heißt, dass alles, was im Powershell-Skript für TLS 1.3 auf dem Server ausgeführt worden ist, dann so bleiben kann? Technisch kann es der Server ja sowieso nicht.

Die Reg-Keys weiter oben im Skript für 1.3 sind mir klar. Die kann ich in der Registry ja wieder entfernen. Es gibt aber noch den Abschnitt "# Set secure protocol to to TLS 1.3".

Habe hier noch nicht geprüft, wie das nun in der Registry auf dem Server aussieht. Es sieht ja ansonsten auch alles okay aus.

Selbst bei einem inplace upgrade von 2019 auf 2022 bekommt man kein TLS1.3 (ich würde auch meine Hand dafür ins Feuer legen, dass das niemals kommen wird)

Bedeutet, dass auf jeden Fall als GW-Rolle ein neuer Server installiert werden muss, wenn ich das richtig lese. Hatte tatsächlich "Inplace" in diesem Fall im Hinterkopf. Auch, wenn wir das bisher noch nie genutzt haben.

 

[JanJäschke]

Ob die Reg Keys Probleme unter Windows Server 2019 verursachen kann ich dir so leider nicht sagen. Ggf. wäre ein bereinigen der sauberere Weg.
Du könntest die IF-Condition einmal bei dir im System prüfen um zu schauen ob das überhaupt ausgeführt wurde.
Ansonsten könntest du aber auch das zurück rollen.


Ja du solltest eine komplette Neuinstallation machen um TLS1.3 nutzen zu können


Vlt ist das auch die beste Variante, jetzt wo dein System ein bisschen "verbaselt" ist.