Niektóre programy nie mają kłopotów, bo korzystają z bibliotek OpenSSL.
Inne wykorzystują niektóre funkcje z tych bibliotek, ale częściowo również
korzystają z bibliotek systemowych (z bibliotek IE też), jeszcze inne
korzystają wyłącznie z tego, co dostarcza Microsoft - i te dwie kategorie
programów mogą mieć kłopoty, bo…
Wcześniej napisałem, że to jeszcze nie komplet aktualizacji, wskazując na
aplet opcji internetowych inetcpl.cpl z IE8, który wciąż widzi tylko TLS
1.0.
Dalej się okazało, że z bibliotek IE8 plik iertutil.dll zawiera już
kompletny wykaz przewidywanych wpisów do rejestru, ale biblioteka
połączenia z Internetem wininet.dll ma dodaną tylko obsługę AES i SHA-2
(patrz p.1-3 historii) bez TLS 1.1/1.2.
Oznacza to np. że dla pobranego instalatora system może sprawdzić
poprawność popdpisu cyfrowego dla certyfikatu korzystającego z SHA-2,
ale instalatora nie da się pobrać, jeśli serwer ma włączony HSTS (czyli
ruch tylko po https, bez http) z ustawionym na sztywno TLS 1.2 (nie
dopuszcza ani negocjacji szyfrowania). W takim przypadku pozostaje
pobieranie przez Firefoxa…