TLS Https连接失败问题(协商失败)
IE使用TLS连接服务器失败,在经过n多查询之后发现windows如下更新说明:
此更新不是最终用户能够安装的安全更新。建议只对服务器管理员使用此更新。此更新会部署一个在受影响的系统上禁用传输层安全 (TLS) 和安全套接字层 (SSL) 重新协商支持的替代方法,以帮助保护连接到此类服务器的客户端以免被该漏洞所利用。
TLS 重新协商是传输层安全协议的组件,并且是某些应用程序必需的。我们建议客户验证实施此替代方法的需求,并且,如果被认为是必需的,则为应用程序部署方案仔细测试此替代方法。
替代方法的功能和目的
此替代方法为系统管理员提供了一个方法,此方法可帮助保护所有连接到服务器的客户端以免被安全公告 977377 中描述的漏洞所利用。替代方法将通过禁止 TLS/SSL 重新协商来实现此目的。这是容易遭到此类攻击的 TLS/SSL 协议的一个组件。
此替代方法仅安装在服务器安装上才有效。替代方法的安装将保护所有到该服务器(由客户端发起)的连接。此替代方法不应在客户端计算机上安装,因为它不会提供任何安全方面其他的好处。
已知问题
此替代方法将禁用某些应用程序所需的 TLS/SSL 重新协商、通用协议功能。这可能会导致软件不再正常工作。如果遇到了任何副作用,客户应卸载替代方法来解决问题。
Microsoft 已经测试下列软件并发现当您安装此更新时会遇到这些问题:
Windows 7 DirectAccess:IP HTTPS 接口将无法工作。
Exchange ActiveSync :使用证书客户端身份验证时将无法工作。
Internet 信息服务 (IIS): 在某些配置中,使用证书客户端身份验证(包括证书映射方案)的 IIS 将受到影响。整个站点中的客户端证书身份验证不会受到影响并且会继续工作。
Internet Explorer:当您浏览要求客户端证书身份验证(而非要求整个站点范围内的客户端证书身份验证)的网站时,您可能无法成功连接。
回到顶端
配置
进行安装之后,此更新将禁止客户端和服务器端重新协商。此行为可由两个注册表项控制:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\DisableRenegoOnClient
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\DisableRenegoOnServer
注意
如果 DisableRenegoOnClient 子项存在并且具有任何非零值:
客户端将不会初始化重新协商。
客户端将不会对重新协商作出响应。
如果 DisableRenegoOnClient 子项丢失,或者存在且值为零:
客户端将启动重新协商。
客户端将对重新协商作出响应。
如果 DisableRenegoOnServer 子项存在并且具有任何非零值:
将不允许服务器启动重新协商。
服务器将不响应来自客户端的重新协商请求。
如果 DisableRenegoOnServer 子项丢失,或者存在且值为零:
将允许服务器启动重新协商。
服务器会响应来自客户端的重新协商请求。
将DisableRenegoOnClient更改为0即可连接上https服务器
服务器端更新还没有尝试..