Мы создаем приложение ASP.NET MVC для развертывания на Windows Server 2016 и IIS. Мы запустили сервер черезSSL-лабораториисканирование и вот один из результатов:
Этот сервер уязвим к уязвимости Return Of Bleichenbacher's Oracle Threat (ROBOT). С марта 2018 года будет присвоена оценка F.
На странице "Дополнительная информация" было предложено решение проблемы — перейти на TLS 1.3. Однако, как следует из этого постакомментарийуказывает, что по состоянию на лето 2017 года версия 1.3 находится в стадии разработки.
Стал ли TLS 1.3 доступен для серверов Windows? Если нет, есть ли сроки его выпуска?
решение1
Стал ли TLS 1.3 доступен для серверов Windows? Если нет, есть ли сроки его выпуска?
TLS 1.3 все еще находится в стадии проекта, и на данный момент нет ожидаемой даты релиза. Это может быть в этом году, это может быть в следующем году.
Вы можете заглянуть в Security Stack Exchange за советами по исправлению (если необходимо) указанной уязвимости. Я бы посоветовал проверить, что системана самом деле уязвимпрежде чем приступить к выполнению восстановительных работ.