Office 365에서 TLS 1.0, 1.1 대한 지원을 중단한다고 공지되었습니다.

 

TLS 1.0 and 1.1 deprecation for Office 365

https://docs.microsoft.com/en-us/microsoft-365/compliance/tls-1.0-and-1.1-deprecation-for-office-365?view=o365-worldwide

We temporarily halted deprecation enforcement of TLS 1.0 and 1.1 for commercial customers due to covid-19, but as supply chains have adjusted and certain countries open back up, we are resetting the TLS enforcement to start Oct 15, 2020.

 

크게 영향을 받는 부분은 Windows 7, Windows Server 2008 R2, Exchange Server 2010 것으로 보입니다.

Hybrid 환경이라면 영향이 있을 것으로 보입니다.

이번 Posting에서는 Windows Server 2008 R2 + Exchange Server 2010 대해서 다루겠습니다.

 

아래의 사이트에서 테스트를 진행

SSL Server Test

https://www.ssllabs.com/ssltest/


아래와 같은 결과가 확인됩니다.


아래의 자료를 기반으로 작성하겠습니다.

Exchange Server TLS guidance, part 1: Getting Ready for TLS 1.2

https://techcommunity.microsoft.com/t5/exchange-team-blog/exchange-server-tls-guidance-part-1-getting-ready-for-tls-1-2/ba-p/607649

 

우선 Exchange 2010 아래의 2가지를 수행해야합니다.

    • Install SP3 RU19 in production today for TLS 1.2 support and be ready to upgrade to SP3 RU20 in production after its release if you need to disable TLS 1.0 and TLS 1.1.
    • Install the latest version of .NET 3.5.1 and patches.

 

그리고 Windows Server 2008 R2에서는 다음을 수행합니다.

Windows Server 2008 R2 SP1

  • TLS 1.2 is supported by the OS but is disabled by default.
  • Ensure your server is current on Windows updates.
    • This should include security update KB3161949 for the current version of WinHTTP.
    • This should include optional recommended update KB3080079 which adds TLS 1.2 capability to Remote Desktop Services if you intend to connect to 2008 R2 SP1 based Exchange Servers via Remote Desktop. Also install this update on any Windows 7 machines you intend to connect from.
  • If you rely on SHA512 certificates; please see KB2973337.
  • Exchange 2010 Installs Only: Install 3154518 for .NET Framework 3.5.1.

 

 

아래의 명령어로 설치된 버전을 확인합니다.

Get-Command ExSetup | ForEach {$_.FileVersionInfo}

아래의 자료를 통해서 버전을 체크할 있습니다.

Exchange Server 빌드 번호 및 릴리스 날짜

https://docs.microsoft.com/ko-kr/exchange/new-features/build-numbers-and-release-dates?view=exchserver-2019

 

RU30 2010 버전에서는 최종 업데이트 이므로 해당 버전 설치를 권장드립니다.

Exchange Server 2010 서비스 팩 3용 업데이트 롤업 30 (KB4536989)

https://www.microsoft.com/ko-KR/download/details.aspx?id=100910

설치 버전확인


되도록 최신 버전으로 업데이트 합니다.

 

아래의 핫픽스를 설치합니다.

Support for TLS System Default Versions included in the .NET Framework 3.5.1 on Windows 7 SP1 and Server 2008 R2 SP1

https://support.microsoft.com/en-us/help/3154518/support-for-tls-system-default-versions-included-in-the--net-framework

 

이제 다음글을 참고하여 Enable TLS 1.2 진행하겠습니다.

Exchange Server TLS guidance Part 2: Enabling TLS 1.2 and Identifying Clients Not Using It

https://techcommunity.microsoft.com/t5/exchange-team-blog/exchange-server-tls-guidance-part-2-enabling-tls-1-2-and/ba-p/607761

 

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]

"DisabledByDefault"=dword:00000000

"Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server]

"DisabledByDefault"=dword:00000000

"Enabled"=dword:00000001


Reg 파일로 저장합니다.


Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v2.0.50727]

"SystemDefaultTlsVersions"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v2.0.50727]

"SystemDefaultTlsVersions"=dword:00000001

레지스트리를 적용하였다면, 재부팅을 진행합니다.


크롬에서 접속해 보면 경고문구가 없어졌으며,


TLS 1.2 활성화된 것을 확인할 있습니다.

 

그리고 아래의 레지스트리를 적용후 재부팅 하면, TLS 1.0, 1.1 Disable 있습니다.

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Client]

"DisabledByDefault"=dword:00000001

"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server]

"DisabledByDefault"=dword:00000001

"Enabled"=dword:00000000

 

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Client]

"DisabledByDefault"=dword:00000001

"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Server]

"DisabledByDefault"=dword:00000001

"Enabled"=dword:00000000


메시지 역시 TLS 1.2 발송된 것으로 확인됩니다.


+ Recent posts