Con l’arrivo dell’aggiornamento 24H2, Windows 11 compie un passo deciso verso una maggiore protezione delle comunicazioni online. Microsoft ha scelto di rendere TLS 1.3 lo standard predefinito per tutte le connessioni, puntando su velocità e robustezza nella gestione della cifratura. Una mossa che rafforza la sicurezza, ma che allo stesso tempo crea nuove difficoltà per chi sviluppa applicazioni web basate su IIS o sulla versione ridotta IIS Express.
Cosa cambia con TLS 1.3
Il nuovo protocollo elimina la cosiddetta renegotiation, una funzione che permetteva al server di chiedere un certificato al client anche dopo l’avvio della connessione. Questa scelta riduce i tempi dell’handshake, rende le comunicazioni meno pesanti per la CPU e abbassa i rischi di vulnerabilità. Il problema è che il meccanismo alternativo, la post-handshake client authentication, non è ancora diffuso tra browser e client. In pratica, se il certificato non viene richiesto subito nella fase iniziale, non lo si può più ottenere.
L’impatto sugli sviluppatori
Il driver http.sys, che gestisce questi processi, fino a poco tempo fa cercava di ristabilire la connessione quando un client non era compatibile. Con Windows 11 24H2 e la futura versione di Windows Server, invece, restituisce un errore “not supported”. IIS si limita così a mostrare un errore 500, generico e poco utile per capire la natura del problema. Per chi lavora con siti e applicazioni aziendali, questo significa avere meno margini di compatibilità senza modifiche manuali.
Le possibili strade da seguire
Microsoft stessa riconosce che una soluzione definitiva non è all’orizzonte. Le alternative pratiche, al momento, sono tre: disattivare TLS 1.3 per le connessioni in ingresso, modificare i binding tramite netsh per richiedere subito il certificato oppure, nei casi in cui sia accettabile, rimuoverne l’obbligo. Nessuna di queste opzioni è ideale, ma rappresentano i soli strumenti a disposizione per continuare a garantire la compatibilità con client e browser meno aggiornati.
Il messaggio di fondo è chiaro: TLS 1.3 rappresenta il futuro della sicurezza online e, anche se la transizione comporterà qualche grattacapo per sviluppatori e amministratori, la direzione intrapresa da Microsoft sembra ormai tracciata.
