一个影响企业级 Web 开发与部署的底层变更正在引发关注。
微软员工 Matt Hamrick 近日在 Tech Community 上确认:由于 Windows 11 24H2 和 Windows Server 2025 默认启用 TLS 1.3,IIS 和 IIS Express 在处理客户端证书请求时的行为已发生不可逆变化。更关键的是,微软目前尚无修复计划,尤其是针对开发工具 IIS Express。
这意味着:某些依赖“会话中请求客户端证书”的应用场景,可能需要重构或降级配置才能继续运行。
问题根源:TLS 1.3 移除了“重新协商”
在 TLS 1.2 及更早版本中,服务器可以在加密会话建立后,通过“重新协商”(Renegotiation)机制再次发起握手,以请求客户端证书。
这一机制曾被广泛用于:
- 企业内网的身份验证
- 多阶段安全访问控制
- 某些 Web API 的分级认证流程
但在 TLS 1.3 中,重新协商被彻底移除。原因来自安全与性能双重考量:
- 防止中间人攻击利用协商过程泄露身份信息
- 减少通信往返次数,提升连接效率
- 降低服务器 CPU 开销
取而代之的是“握手后客户端身份验证”(Post-Handshake Client Authentication),但目前主流浏览器和客户端库大多尚未实现该功能。
Windows 11 的行为变化
在 Windows 11 24H2 / Windows Server 2025 之前:
- 若客户端未在初始握手提供证书,且不支持后续协商,
http.sys(Windows 内核级 HTTP 协议栈)将直接终止连接
从 24H2 起:
http.sys不再断开连接,而是返回ERROR_NOT_SUPPORTED(0x80070032)- IIS 可据此返回 HTTP 500 错误,便于诊断
- 但仍无法在会话中后期获取客户端证书
关键限制:
客户端证书必须在 初始 TLS 握手阶段 就被请求并提交,否则无法补救。
这对 IIS Express 尤其不利——许多开发环境依赖其动态配置能力,在运行时决定是否需要证书验证。
IIS 与 IIS Express 的区别加剧问题影响
| 特性 | IIS | IIS Express |
|---|---|---|
| 使用场景 | 生产环境 | 开发与测试 |
| 权限要求 | 需管理员权限 | 普通用户可运行 |
| 配置方式 | applicationHost.config + WAS | 简化配置,支持动态绑定 |
| 对证书请求的支持 | 可提前配置前端请求 | 动态判断能力受限 |
由于 IIS Express 常用于快速原型开发和本地调试,开发者往往在运行时才决定是否启用客户端证书验证。而新限制要求必须在 TLS 握手前就明确配置,这打破了原有的灵活性。
微软态度:可能不会修复
Matt Hamrick 明确表示:
“我真的不确定是否会有一个修复方案,如果有的话,它会是什么样子。”
这暗示微软倾向于将此视为“设计变更”而非“缺陷”,并期望开发者调整应用逻辑以适应 TLS 1.3 的安全模型。
可行的变通方案
尽管底层行为不可逆,但仍有几种方式可缓解影响:
✅ 方案 1:禁用 TLS 1.3(临时措施)
通过注册表或 netsh 命令限制仅使用 TLS 1.2:
netsh http add sslcert ipport=0.0.0.0:443 certhash=... appid={...} certstorename=My disableocsp=1
并在组策略中禁用 TLS 1.3(不推荐长期使用,因牺牲安全性)。
✅ 方案 2:提前配置证书请求
在 applicationHost.config 中为站点绑定设置 clientCertificateMappingAuthentication,强制在初始握手请求证书:
<system.webServer>
<security>
<access sslFlags="Ssl, SslRequireCert" />
</security>
</system.webServer>
适用于可预知认证需求的场景。
✅ 方案 3:应用层身份验证替代
将客户端证书验证移至应用逻辑中处理,例如:
- 使用 JWT 或 OAuth 2.0 实现分级访问
- 在 HTTPS 层之下通过 API 端点上传证书信息(需额外安全设计)
虽增加复杂性,但更具灵活性。
对企业和开发者的启示
- 企业用户:在升级至 Windows 11 24H2 或 Server 2025 前,需评估现有 Web 应用是否依赖动态客户端证书请求
- 开发团队:IIS Express 的调试流程可能需要调整,建议尽早测试兼容性
- 架构师:应重新审视基于“延迟认证”的设计模式,向更现代的身份验证架构迁移
评论