Windows 中的 TLS 1.0 和 TLS 1.1 弃用
由于诸多安全问题,Internet 标准和监管机构弃用或禁止了 TLS 版本 1.0 和 1.1。 从 2024 年发布的 Windows 11 Insiders Preview 和 Windows Server Insiders 预览版开始,默认情况下它们将被禁用。 此更改适用于客户端和服务器设备,但不会影响市面上的操作系统版本。
Microsoft 365 产品以及 WinHTTP 和 WinINet API 图面已禁用 TLS 1.0 和 TLS 1.1。 大多数更高版本的应用程序都支持 TLS 1.2 或更高版本的协议版本。 因此,如果应用程序在此更改后开始失败,第一步是查找具有 TLS 1.2 或 TLS 1.3 支持的更新版本的应用程序。
若要了解有关此弃用的详细信息,请参阅 RFC 8996。
重新启用 TLS 1.0 和 1.1
注意
除非万不得已,否则建议不要直接编辑注册表。 在应用对注册表的修改之前,注册表编辑器或 Windows 操作系统不会对这些修改进行验证。 因此,可能会存储不正确的值,从而可能导致系统出现不可恢复的错误。 如果可能,请使用组策略或其他 Windows 工具(如 Microsoft 管理控制台 (MMC)),而不要直接编辑注册表。 如果必须编辑注册表,请格外小心。
可以创建以下 DWORD 注册表值以启用系统范围的 TLS 1.0 和 1.1 版本:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Client\Enabled
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Client\Enabled
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server\Enabled
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Server\Enabled
将这些 DWORD 值设置为 1 会为 TLS 客户端和服务器启用 TLS 1.0 和 1.1。 若要还原这些更改,请删除上述注册表值。
以下 Powershell 脚本可用于重新启用 TLS 1.0 和 1.1:
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Client" -Name "Enabled" -Value 1 -Type DWord
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Client" -Name "Enabled" -Value 1 -Type DWord
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server" -Name "Enabled" -Value 1 -Type DWord
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Server" -Name "Enabled" -Value 1 -Type DWord
若要了解有关 TLS 注册表设置的详细信息,请参阅传输层安全性 (TLS) 注册表设置。
注意
将来可能会完全移除对旧版 TLS 1.0 h和 1.1 的支持。
已知问题
以下 Windows 应用程序依赖于 TLS 1.0 或 TLS 1.1,预计无法执行或丢失某些功能。 提供的列表并不详尽。 如果其他应用程序显示问题,我们建议向软件供应商询问更新版本。
| 应用程序 | 受影响的版本 | 已修复的版本 |
|---|---|---|
| ACDSee Photo Studio | 2018 | 2023 |
| Adguard | 6.4、7.12 | 7.15 |
| ArcGIS | 10.3 | 11.1 |
| Arma 3 | 3 | 3 |
| Blio e-Reader | 3.4.1 | 不可用 |
| BlueStacks 3(蓝叠 3) | 5.10 | 5.13 |
| BlueStacks X | 0.21.0.1063 | 10.4.0.1034 |
| CCB Security Client(中国建设银行 E 路航网银安全组件) | 3.3.9.7 | 不可用 |
| CorelDRAW Graphics Suite X6 | 16 | 24.5.0.731 (2022) |
| 驱动程序支持 | 10.1.6.14 | SolveIQ |
| DRUKI Gofin | 3.17.94.0 | 不可用 |
| ESET NOD32 Antivirus | 5.0.94.0 | 10.0.390.0 |
| EVault Data Protection | 7.01.6125 | 不可用 |
| Jaws for Windows | 2019.1903.47 | 2023.2307.37 |
| K7 Enterprise Security | 4.1.0.116 | 4.5.1.121 |
| LANGuard | 12.7 | 12.10 |
| Microsoft Office 2008 Professional Accounting Express | 2008 年 | 不可用 |
| Project Plan 365 | 23.8.1204.14137 | 23.30.1225.39313 |
| Quick Heal Total Security | 23.00 (14.1.0.10) | 不可用 |
| Safari | 5.1.7 | 5.1.7 |
| Splice | 4.0.35686 | 4.3.98750 |
| SQL Server | 2012、2014、2016 | 2014、2016 已修补,请参阅 KB3135244 |
| Turbo Tax | 2011、2012、2014、2015、2016、2017、2018 | 2022 |
| UltraViewer | 6.6.37 | 6.6.63 |
| UPlay | 22.1 | Ubisoft Connect |
| vWorkspace | 8.6.1 | 不可用 |
| WebCompanion | 11.7 | 12.1 |
| Xbox One SmartGlass | 2.2.1702.2004 | 不可用 |
| 火萤视频桌面 (Qiffa) | 5.2.5.9 | 不可用 |
开发者指南
有关使用安全支持提供程序接口 (SSPI) 的开发人员和企业管理员的其他信息,可参阅 Windows 中即将禁用 TLS 1.0 和 TLS 1.1