Wir erstellen eine ASP.NET MVC-App für die Bereitstellung auf Windows Server 2016 und IIS. Wir haben den Server durch dieSSL-LaboreScan und als eines der Ergebnisse wurde Folgendes angezeigt:
Dieser Server ist anfällig für die ROBOT-Sicherheitslücke (Return Of Bleichenbacher's Oracle Threat). Die Note wird ab März 2018 auf F gesetzt.
Als Abhilfe wurde auf der Seite „Weitere Informationen“ die Umstellung auf TLS 1.3 vorgeschlagen. Da dieser Beitrag jedochKommentarzeigt an, dass 1.3 seit Sommer 2017 im Entwurfsmodus ist.
Ist TLS 1.3 für Windows-Server verfügbar? Wenn nicht, gibt es einen Zeitplan für die Veröffentlichung?
Antwort1
Ist TLS 1.3 für Windows-Server verfügbar? Wenn nicht, gibt es einen Zeitplan für die Veröffentlichung?
TLS 1.3 befindet sich noch im Entwurfsstadium und es gibt derzeit noch keinen voraussichtlichen Veröffentlichungstermin. Es könnte dieses Jahr sein, vielleicht aber auch nächstes Jahr.
Sie können sich im Security Stack Exchange Tipps zur Behebung (falls erforderlich) für die angegebene Sicherheitslücke ansehen. Ich würde vorschlagen, zu überprüfen, ob das Systemist tatsächlich anfälligbevor Sie mit den Abhilfemaßnahmen fortfahren.