Un ingegnere Microsoft ha confermato che l'utilizzo predefinito di TLS 1.3 in Windows 11 ècausando problemi di compatibilità per IIS Expressquando si lavora con i certificati client. Il problema, che in alcune condizioni interessa anche l'intero IIS, deriva dalla mancanza di supporto di TLS 1.3 per una funzionalità chiamata rinegoziazione.
Non è tutto; la rinegoziazione consentiva ai server su TLS 1.2 e versioni precedenti di richiedere un certificato client durante una sessione crittografata. Sfortunatamente, senza di esso, IIS Express non può convalidare i certificati client a meno che non vengano richiesti durante l'handshake TLS iniziale. Poiché IIS Express dipende dal driver http.sys di Windows per la gestione di TLS, ottiene il controllo troppo tardi per intervenire.
Altre letture:Microsoft presenta in anteprima SQL Server 2025 con Ubuntu 24.04 e TLS 1.3
Ebbene, il cambiamento influisce sui progetti di test degli sviluppatori che si basano sul mutuo TLS (mTLS). Nelle versioni precedenti di Windows 11 e Server 2022, il browser reimposta semplicemente la connessione. Nella versione 24H2 e Server 2025, invece, IIS risponde con un errore interno del server 500.0 e un codice di errore 0x80070032, che si traduce in non supportato.
Microsoft non ha annunciato una correzione permanente per IIS Express e non è chiaro se ne implementerà una in futuro. Per ora, lo sviluppatore Matt Hamrick suggerisce tre possibili soluzioni alternative:
- Innanzitutto, è necessario disabilitare TLS 1.3 in entrata tramite modifiche al registro. Ciò impone a Windows di utilizzare TLS 1.2 per le sessioni del server locale.
- Se la soluzione alternativa di cui sopra non funziona, modifica semplicemente i collegamenti http.sys con netsh, in modo che i certificati vengano richiesti durante l'handshake iniziale.
- Se non funziona nulla, rimuovi i requisiti del certificato client dal file di configurazione di IIS Express, se possibile.
Oltre a questi passaggi, Hamrick avverte che alcuni metodi potrebbero richiedere privilegi amministrativi o potrebbero essere reimpostati durante gli aggiornamenti di Visual Studio. Vale la pena notare che l'IIS completo su Windows Server 2025 include già un'opzione di negoziazione del certificato client per i collegamenti ai siti, offrendo agli amministratori un maggiore controllo.
IIS Express, tuttavia, non dispone di tale flessibilità perché i suoi collegamenti sono preconfigurati da Visual Studio, limitando la gestione diretta. Non è tutto; la maggior parte dei browser Web non supporta ancora l'estensione TLS 1.3 per l'autenticazione post-handshake, il che significa che il problema riguarda tanto il supporto del client quanto le impostazioni del server.
Al momento, Microsoft non ha specificato se IIS Express riceverà una soluzione adeguata. Lo stesso Hamrick ha scritto che "non è sicuro se ci sarà una soluzione e come sarà se ci sarà". Per ora, gli sviluppatori che utilizzano IIS Express devono fare affidamento su soluzioni alternative o modificare le proprie configurazioni.
![[Suggerimento] Rimuovi “Oggetti 3D” da Esplora risorse di Windows 10 “Questo PC”](https://media.askvg.com/articles/images6/3D_Objects_Extra_Folder_This_PC_Windows_10.png)
