Deprecazione di TLS 1.0 e TLS 1.1 in Windows
Gli standard Internet e gli organismi normativi hanno deprecato o non consentito TLS versione 1.0 e 1.1 a causa di diversi problemi di sicurezza. A partire da Windows 11 Insiders Preview e dalle versioni di Windows Server Insider Preview nel 2024, verranno disabilitate per impostazione predefinita. Questa modifica si applica sia ai dispositivi client che ai dispositivi server, ma non influisce sulle versioni del sistema operativo sul mercato.
TLS 1.0 e TLS 1.1 sono già stati disabilitati dai prodotti Microsoft 365, nonché dalle superfici API WinHTTP e WinINet. La maggior parte delle versioni più recenti delle applicazioni supporta le versioni del protocollo TLS 1.2 o versioni successive. Pertanto, se un'applicazione viene avviata dopo questa modifica, il primo passaggio consiste nel cercare una versione più recente dell'applicazione con supporto TLS 1.2 o TLS 1.3.
Per altre informazioni su questa deprecazione, vedere RFC 8996.
Riabilitare TLS 1.0 e 1.1
Cautela
La modifica diretta del Registro di sistema non è consigliata a meno che non esista un'altra alternativa. Le modifiche apportate al Registro di sistema non vengono convalidate dall'editor del Registro di sistema o dal sistema operativo Windows prima che vengano applicate. Di conseguenza, i valori non corretti possono essere archiviati e ciò può comportare errori irreversibili nel sistema. Quando possibile, invece di modificare direttamente il Registro di sistema, usare Criteri di gruppo o altri strumenti di Windows, ad esempio Microsoft Management Console (MMC). Se è necessario modificare il Registro di sistema, prestare particolare attenzione.
Per abilitare TLS 1.0 e 1.1 versioni a livello di sistema, è possibile creare i valori del Registro di sistema DWORD:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Client\Enabled
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Client\Enabled
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server\Enabled
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Server\Enabled
L'impostazione di questi valori DWORD su 1 abilita TLS 1.0 e 1.1 per client e server TLS. Per ripristinare queste modifiche, eliminare i valori del Registro di sistema precedenti.
Lo script di PowerShell seguente può essere usato per riabilitare TLS 1.0 e 1.1:
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Client" -Name "Enabled" -Value 1 -Type DWord
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Client" -Name "Enabled" -Value 1 -Type DWord
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server" -Name "Enabled" -Value 1 -Type DWord
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Server" -Name "Enabled" -Value 1 -Type DWord
Per altre informazioni sulle impostazioni del Registro di sistema TLS, vedere impostazioni del Registro di sistema TLS (Transport Layer Security).
Nota
Il supporto per le versioni legacy di TLS 1.0 e 1.1 potrebbe essere rimosso completamente in futuro.
Problemi noti
Le applicazioni Windows seguenti si basano su TLS 1.0 o TLS 1.1 e dovrebbero non riuscire o perdere alcune funzionalità. L'elenco fornito non è esaustivo. Se altre applicazioni mostrano problemi, è consigliabile rivolgersi al fornitore del software per una versione aggiornata.
| Applicazione | Versione interessata | Versione fissa |
|---|---|---|
| ACDSee Photo Studio | 2018 | 2023 |
| Adguard | 6.4, 7.12 | 7.15 |
| ArcGIS | 10.3 | 11.1 |
| Arma 3 | 3 | 3 |
| Blio e-Reader | 3.4.1 | Non disponibile |
| BlueStacks 3 (蓝叠3) | 5.10 | 5.13 |
| BlueStacks X | 0.21.0.1063 | 10.4.0.1034 |
| CCB Security Client (中国建设银行E路航网银安全组件) | 3.3.9.7 | Non disponibile |
| Windows Graphics Suite X6 | 16 | 24.5.0.731 (2022) |
| Supporto driver | 10.1.6.14 | SolveIQ |
| DRUKI Gofin | 3.17.94.0 | Non disponibile |
| ESET NOD32 Antivirus | 5.0.94.0 | 10.0.390.0 |
| Protezione dei dati EVault | 7.01.6125 | Non disponibile |
| Jaws for Windows | 2019.1903.47 | 2023.2307.37 |
| K7 Enterprise Security | 4.1.0.116 | 4.5.1.121 |
| LANGuard | 12.7 | 12.10 |
| Microsoft Office 2008 Professional Accounting Express | 2008 | Non disponibile |
| Piano di progetto 365 | 23.8.1204.14137 | 23.30.1225.39313 |
| Correzione rapida della sicurezza totale | 23.00 (14.1.0.10) | Non disponibile |
| Safari | 5.1.7 | 5.1.7 |
| Impiombatura | 4.0.35686 | 4.3.98750 |
| SQL Server | 2012, 2014, 2016 | Patched 2014, 2016, see KB3135244 |
| Turbo Tax | 2011, 2012, 2014, 2015, 2016, 2017, 2018 | 2022 |
| UltraViewer | 6.6.37 | 6.6.63 |
| Uplay | 22.1 | Connect di Connect |
| vWorkspace | 8.6.1 | Non disponibile |
| WebCompanion | 11.7 | 12.1 |
| Xbox One SmartGlass | 2.2.1702.2004 | Non disponibile |
| 火萤视频桌面 (Qiffa) | 5.2.5.9 | Non disponibile |
Linee guida per gli sviluppatori
Altre informazioni per sviluppatori e amministratori aziendali che usano Security Support Provider Interface (SSPI) sono disponibili in TLS 1.0 e TLS 1.1 presto saranno disabilitati in Windows