IE使用TLS連接服務器失敗，在經(jīng)過n多查詢之后發(fā)現(xiàn)windows如下更新說明:

此更新不是最終用戶能夠安裝的安全更新。建議只對服務器管理員使用此更新。此更新會部署一個在受影響的系統(tǒng)上禁用傳輸層安全 (TLS) 和安全套接字層 (SSL) 重新協(xié)商支持的替代方法，以幫助保護連接到此類服務器的客戶端以免被該漏洞所利用。

TLS 重新協(xié)商是傳輸層安全協(xié)議的組件，并且是某些應用程序必需的。我們建議客戶驗證實施此替代方法的需求，并且，如果被認為是必需的，則為應用程序部署方案仔細測試此替代方法。

替代方法的功能和目的

此替代方法為系統(tǒng)管理員提供了一個方法，此方法可幫助保護所有連接到服務器的客戶端以免被安全公告 977377 中描述的漏洞所利用。替代方法將通過禁止 TLS/SSL 重新協(xié)商來實現(xiàn)此目的。這是容易遭到此類攻擊的 TLS/SSL 協(xié)議的一個組件。

此替代方法僅安裝在服務器安裝上才有效。替代方法的安裝將保護所有到該服務器(由客戶端發(fā)起)的連接。此替代方法不應在客戶端計算機上安裝，因為它不會提供任何安全方面其他的好處。

已知問題

此替代方法將禁用某些應用程序所需的 TLS/SSL 重新協(xié)商、通用協(xié)議功能。這可能會導致軟件不再正常工作。如果遇到了任何副作用，客戶應卸載替代方法來解決問題。

Microsoft 已經(jīng)測試下列軟件并發(fā)現(xiàn)當您安裝此更新時會遇到這些問題：

Windows 7 DirectAccess：IP HTTPS 接口將無法工作。

Exchange ActiveSync ：使用證書客戶端身份驗證時將無法工作。

Internet 信息服務 (IIS)： 在某些配置中，使用證書客戶端身份驗證(包括證書映射方案)的 IIS 將受到影響。整個站點中的客戶端證書身份驗證不會受到影響并且會繼續(xù)工作。

Internet Explorer：當您瀏覽要求客戶端證書身份驗證(而非要求整個站點范圍內(nèi)的客戶端證書身份驗證)的網(wǎng)站時，您可能無法成功連接。

回到頂端

配置

進行安裝之后，此更新將禁止客戶端和服務器端重新協(xié)商。此行為可由兩個注冊表項控制：

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\DisableRenegoOnClient

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\DisableRenegoOnServer

注意

如果 DisableRenegoOnClient 子項存在并且具有任何非零值：

客戶端將不會初始化重新協(xié)商。

客戶端將不會對重新協(xié)商作出響應。

如果 DisableRenegoOnClient 子項丟失，或者存在且值為零：

客戶端將啟動重新協(xié)商。

客戶端將對重新協(xié)商作出響應。

如果 DisableRenegoOnServer 子項存在并且具有任何非零值：

將不允許服務器啟動重新協(xié)商。

服務器將不響應來自客戶端的重新協(xié)商請求。

如果 DisableRenegoOnServer 子項丟失，或者存在且值為零：

將允許服務器啟動重新協(xié)商。

服務器會響應來自客戶端的重新協(xié)商請求。

將DisableRenegoOnClient更改為0即可連接上https服務器

服務器端更新還沒有嘗試..

總結

以上是生活随笔為你收集整理的tls 禁用重协商_TLS Https连接失败问题(协商失败)的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。