답변:
Server 2008 R2 / Windows 7은 Windows에 대한 TLS 1.1 및 TLS 1.2 지원을 도입했으며 TLS 1.0을 취약하게 만든 공격 이전에 릴리스되었으므로 가장 널리 사용되는 TLS 버전 이었기 때문에 TLS 1.0이 기본값 일 수 있습니다. Server 2008 R2가 출시 될 당시 (2009 년 7 월)
어떻게 알았는지 확실하지 않거나 디자인 결정이 내려진 "이유"를 알 수 있지만 Windows 7 및 Server 2008 R2가이 기능을 Windows 제품군에 도입했으며 Windows Server 2012는 기본적으로 TLS 1.2를 사용합니다. 당시에는 "일이 어떻게 이루어 졌는가"의 문제라고 제안하는 것 같습니다. TLS 1.0은 여전히 "충분히"좋았으므로 기본값이되었지만 TLS 1.1 및 1.2는 정방향 지원 및 정방향 작동이 지원되었습니다.
Microsoft 직원의이 Technet 블로그 는 최신 버전의 TLS를 활성화 할 것을 권장하며 (2011 년 10 월 기준)
웹 서버 중에서 IIS 7.5만이 TLS 1.1 및 TLS 1.2를 지원합니다. 현재 OPENSSL에는 지원되지 않기 때문에 Apache는 이러한 프로토콜을 지원하지 않습니다. 바라건대, 그들은 업계의 새로운 표준을 따라 잡을 것입니다.
이는 최신 TLS 버전이 Server 2008 R2에서 기본적으로 활성화되어 있지 않았으며 당시에 널리 지원되거나 사용되지 않았기 때문에 기본적으로 활성화되지 않았다는 아이디어를 추가로 지원합니다-Apache와 OpenSSL은 아직까지도 지원 하지 않았습니다 기본값으로 사용하십시오.
다양한 SSL / TLS 버전을 활성화하고 비활성화하는 방법에 대한 자세한 내용은 Microsoft KB 문서 번호 245030을 참조하십시오How to restrict the use of certain cryptographic algorithms and protocols in Schannel.dll
. 분명히 Client
키는 Internet Explorer를 제어하고 Server
키는 IIS를 포함합니다.
이 문제가 궁금했습니다. 아마도 당시 알려진 호환성 문제 때문일 수도 있습니다.이 MSDN 블로그 항목 (2011 년 3 월 24 일부터)을 찾았습니다.
지원되지 않는 프로토콜 요청에 응답하는 방식으로 일부 웹 서버에 대해 "오작동"에 대해 이야기하며, 이로 인해 클라이언트가 지원되는 프로토콜로 대체되지 않아 최종 결과는 사용자가 웹 사이트에 액세스 할 수 없게됩니다.
해당 블로그 항목의 인용 부분 :
서버는 이러한 방식으로 작동하지 않아야합니다. 대신 지원하는 최신 HTTPS 프로토콜 버전 (예 : "3.1"(일명 TLS 1.0))을 사용하여 간단히 응답해야합니다.이 시점에서 서버가 연결을 정상적으로 닫았 으면 WinINET의 코드는 폴백하고 TLS 1.0 만 제공하는 연결을 다시 시도합니다 WinINET에는 TLS1.1 및 1.2가 TLS1.0으로 폴백 한 다음 SSL3 (활성화 된 경우), SSL2 (활성화 된 경우)로 대체되는 코드가 포함됩니다. 단점은 성능 저하입니다. 새 버전이 낮은 핸드 셰이크에 필요한 추가 왕복은 일반적으로 수십 또는 수백 밀리 초에 달하는 페널티를 초래합니다.
그러나이 서버는 TCP / IP RST를 사용하여 연결을 중단했습니다. 이로 인해 WinINET에서 폴백 코드가 비활성화되고 전체 연결 시퀀스가 중단되어 "Internet Explorer에서 웹 페이지를 표시 할 수 없습니다"라는 오류 메시지가 표시됩니다.