В Windows 11 могут не исправить ключевую функцию интернета для офисных ПК

Сотрудник Microsoft Мэтт Хэмрик подтвердил, что изменения в использовании протокола Transport Layer Security (TLS) 1.3 по умолчанию в Windows 11 влияют на обработку запросов клиентских сертификатов службами IIS (IIS) и IIS Express. 

Проблема связана с отсутствием в TLS 1.3 поддержки функции, известной как «повторное согласование», чтобы «гарантировать постоянную конфиденциальность аутентификации клиента» и «сократить количество циклов передачи данных и нагрузку на процессор».

Похоже, Microsoft ускорила и повысила безопасность в ущерб совместимости, по крайней мере, в отношении некоторых аспектов ОС.

Повторное согласование TLS, доступное в TLS 1.2 и более ранних версиях, позволяет серверу инициировать его в рамках существующего зашифрованного сеанса для запроса клиентского сертификата. В Windows этим процессом управляет драйвер устройства режима ядра, называемый HTTP-стеком (или http.sys), в сочетании с пакетом безопасности Schannel, при этом IIS или IIS Express получают управление только после завершения согласования.

В версиях до Windows 11 24H2 и Windows Server 2022 http.sys разрывает соединение, если клиентский сертификат запрошен, но изначально не согласован, когда клиент не поддерживает аутентификацию после согласования. Начиная с Windows 11 24H2 и Windows Server 2025, http.sys вместо этого возвращает ошибку «not support» (не поддерживается), позволяя IIS отправлять ответ HTTP 500 с кодом ошибки 0x80070032, что технически означает «ERROR_NOT_SUPPORTED».

Microsoft пояснила, что в TLS 1.3 повторное согласование не допускается. Хотя протокол определяет альтернативу, называемую аутентификацией клиента после установления связи (post-handshake), компания отмечает, что большинство клиентов, включая основные браузеры, её не