Un ingeniero de Microsoft ha confirmado que el uso predeterminado de TLS 1.3 en Windows 11 escausando problemas de compatibilidad para IIS Expresscuando se trabaja con certificados de cliente. El problema, que también afecta a IIS completo en algunas condiciones, se debe a la falta de soporte de TLS 1.3 para una característica llamada renegociación.
Eso no es todo; La renegociación permitió a los servidores en TLS 1.2 y versiones anteriores solicitar un certificado de cliente a mitad de una sesión cifrada. Desafortunadamente, sin él, IIS Express no puede validar los certificados de cliente a menos que se soliciten durante el protocolo de enlace TLS inicial. Dado que IIS Express depende del controlador http.sys de Windows para manejar TLS, obtiene el control demasiado tarde para intervenir.
Más lectura:Microsoft presenta una vista previa de SQL Server 2025 con Ubuntu 24.04 y TLS 1.3
Bueno, el cambio afecta los proyectos de prueba de los desarrolladores que dependen de TLS mutuo (mTLS). En versiones anteriores de Windows 11 y Server 2022, el navegador simplemente restablece la conexión. Mientras que, en la versión 24H2 y Server 2025, IIS responde con un error interno del servidor 500.0 y un código de error 0x80070032, que se traduce como no compatible.
Microsoft no ha anunciado una solución permanente para IIS Express y no está claro si implementará una en el futuro. Por ahora, el desarrollador Matt Hamrick sugiere tres posibles soluciones:
- Primero, debe deshabilitar TLS 1.3 entrante mediante ediciones del registro. Esto obliga a Windows a utilizar TLS 1.2 para las sesiones del servidor local.
- Si la solución anterior no funciona, simplemente modifique los enlaces http.sys con netsh, de modo que se soliciten los certificados durante el protocolo de enlace inicial.
- Si nada funciona, elimine los requisitos del certificado del cliente del archivo de configuración de IIS Express si es posible.
Además de estos pasos, Hamrick advierte que algunos métodos pueden requerir privilegios administrativos o podrían restablecerse durante las actualizaciones de Visual Studio. Vale la pena señalar que IIS completo en Windows Server 2025 ya incluye una opción Negociar certificado de cliente para enlaces de sitios, lo que brinda a los administradores más control.
Sin embargo, IIS Express carece de esa flexibilidad porque Visual Studio preconfigura sus enlaces, lo que limita la administración directa. Eso no es todo; la mayoría de los navegadores web aún no admiten la extensión TLS 1.3 para la autenticación posterior al protocolo de enlace, lo que significa que el problema tiene que ver tanto con la compatibilidad con el cliente como con la configuración del servidor.
Hasta el momento, Microsoft no ha detallado si IIS Express recibirá una solución adecuada. El propio Hamrick escribió que “no está seguro de si habrá una solución y de cómo será si la hay”. Por ahora, los desarrolladores que utilizan IIS Express deben confiar en soluciones alternativas o ajustar sus configuraciones.
