Existe un riesgo de seguridad si utilizamos el protocolo TLS 1.0 o TLS 1.1 para el cifrado, desde Julio 2020 el protocolo TLS 1.1 está generando un mensaje de advertencia en los principales navegadores. Este problema surge sobre todo en Servidores con Windows Server 2008.
Actualmente todas las aplicaciones en IIS que usan TLS 1.0 o TLS 1.1 deben dejar de funcionar.
Si queremos verificar si nuestra aplicación o servidor ejecuta TLS 1.0, TLS 1.2, podemos hacerlo desde la siguiente URL: https://www.ssllabs.com/ssltest/
También cabe destacar ante un analisis de vulnerabilidad con nmap, la solución al problema: Diffie-Hellman Key Exchange Insufficient Group Strength, pasa igualmente por deshabilitar TLS 1.0 y 1.1 y activar TLS 1.2
Ver más sobre nmap y esta vulnerabilidad en este post.
Para activar el protocolo TLS 1.2:
Entramos en el Registro (escribimos regedit en INICIO) Ruta de acceso del registro:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols]
1.- Deshabilitar TLS 1.0:
En protocolos, damos clic derecho y creamos nueva llave de registro con el nombre TLS 1.0, luego hacemos clic derecho en TLS 1.0 y creamos dos llaves de registro Client y Server, dentro de Client y Server creamos el Valor de DWORD (32 bits) en ambas Enabled con valor hexadecimal 0. Crear también valor de DWORD (32 bits) en ambas DisabledByDefault valor 1.
En protocolos, damos clic derecho y creamos nueva llave de registro con el nombre TLS 1.1, luego hacemos clic derecho en TLS 1.1 y creamos dos llaves de registro Client y Server, dentro de Client y Server creamos el Valor de DWORD (32 bits) en ambas Enabled con valor hexadecimal 0. Crear tambien valor de DWORD (32 bits) en ambas DisabledByDefault valor 1.
2.- Habilitar TLS 1.2: Simplemente debemos crear las siguientes claves de registro:
En protocolos, damos clic derecho y creamos nueva llave de registro con el nombre TLS 1.2, luego hacemos clic derecho en TLS 1.1 y creamos dos llaves de registro Client y Server, dentro de Client y Server creamos el Valor de DWORD (32 bits) en ambas Enabled con valor hexadecimal 1. y crear tambien valor de DWORD (32 bits) en ambas DisabledByDefault valor 0.
Finalmente reiniciar el servidor.
Ver advertencia de seguridad en INCIBE: