Re: [WINNT] Obsługa TLS 1.1 i TLS 1.2 w Windows XP

["Grzegorz Niemirowski" <gnthexfiles@poczta.onet.pl>]

Andrzej P. Wozniak <uszer@poczta.onet.pl.invalid> napisał(a):
> Niektóre programy nie mają kłopotów, bo korzystają z bibliotek OpenSSL.
> Inne wykorzystują niektóre funkcje z tych bibliotek, ale częściowo również
> korzystają z bibliotek systemowych (z bibliotek IE też), jeszcze inne
> korzystają wyłącznie z tego, co dostarcza Microsoft - i te dwie kategorie
> programów mogą mieć kłopoty, bo…
> Wcześniej napisałem, że to jeszcze nie komplet aktualizacji, wskazując na
> aplet opcji internetowych inetcpl.cpl z IE8, który wciąż widzi tylko TLS
> 1.0.
> Dalej się okazało, że z bibliotek IE8 plik iertutil.dll zawiera już
> kompletny wykaz przewidywanych wpisów do rejestru, ale biblioteka
> połączenia z Internetem wininet.dll ma dodaną tylko obsługę AES i SHA-2
> (patrz p.1-3 historii) bez TLS 1.1/1.2.
> Oznacza to np. że dla pobranego instalatora system może sprawdzić
> poprawność popdpisu cyfrowego dla certyfikatu korzystającego z SHA-2,
> ale instalatora nie da się pobrać, jeśli serwer ma włączony HSTS (czyli
> ruch tylko po https, bez http) z ustawionym na sztywno TLS 1.2 (nie
> dopuszcza ani negocjacji szyfrowania). W takim przypadku pozostaje
> pobieranie przez Firefoxa…
Jednak w przypadku IDM jego autorzy twierdzą, że będzie działać z 
poprawkami: 
http://www.internetdownloadmanager.com/support/xp-https-problems.html
Aczkolwiek co ciekwe każą instalować angielską wersję KB3055973-v3. Dziwna 
sprawa, wersja jezykowa nie powinna mieć nic do rzeczy.
--
Grzegorz Niemirowski
http://www.grzegorz.net/