Abilitare TLS 1.1 ed 1.2 su Windows XP/2008/7/2008R2

[ObiWan]

Le istruzioni di cui sotto permettono di abilitare il supporto TLS 1.1
ed 1.2 sulle versioni più "datate" di Windows, incluso Windows XP e di
aggiornare i certificati radice alle versioni più recenti


Prima di tutto abilitare il supporto TLS 1.1 ed 1.2 seguendo le
istruzioni a questo link

https://www.emailarchitect.net/easendmail/sdk/html/object_tls12.htm

fatto questo scaricare il file seguente

http://files.disc-soft.com/filer/shared/1657328020/801/

quindi estrarre il contenuto del file rootsupd20220709.zip in una
cartella, ad esempio C:\updcerts, fatto questo, da un prompt comandi
avviare il file update.bat, quest'ultimo provvederà ad aggiornare i
certificati radice ed al termine riavvierà il sistema

da notare che, il file "roots.sst" contenuto nello zip può anche essere
generato autonomamente e/o ri-generato per aggiornarlo, per fare questo
è sufficiente lanciare il seguente comando su un sistema Windows 10/11
o comunque di una versione recente

certutil.exe -generateSSTFromWU roots.sst

il comando di cui sopra estrarrà i certificati radice dal sistema in
uso e li salverà nel file "roots.sst", tale file potrà quindi essere
copiato nella cartella dove è stato estratto lo zip di cui sopra ed
utilizzato per installare/reinstallare i certificati radice aggiornati

in qualsiasi caso, una volta completate le operazioni descritte sopra,
il sistema supporterà i protocolli TLS 1.1 ed 1.2 e riconoscerà i nuovi
certificati, tale supporto sarà esteso all'intero sistema, quindi anche
programmi come (es.) OE potranno sfruttare in modo trasparente i nuovi
protocolli crittografici

[P/ero]

Non ho fatto tutta la procedura che hai descritta, ma una molto più
semplice.
A me interessava attivare TLS 1.1 1.2 su IE8 e su OE.
Quando lo sono su IE8 vengono attivati anche su OE, e questo è quello
che volevo:-)
Ti ringrazio.
--
* b *
* y *
* Pierо *
#v+
Se perdi la calma, non la ritrovi fra gli "Oggetti smarriti".
#v-

[ObiWan]

:: On Wed, 02 Nov 2022 17:22:44 +0100 (Italian-Time)
:: (it.comp.os.win.windows7)
:: <O-672182-02.11.22$27662766...@hotmail.com>

:: "P/ero" <ppi...@woow.it.INVALID> wrote:

> Non ho fatto tutta la procedura che hai descritta, ma una molto più
> semplice.
>
> A me interessava attivare TLS 1.1 1.2 su IE8 e su OE.
> Quando lo sono su IE8 vengono attivati anche su OE, e questo è quello
> che volevo:-)

se attivi solo TLS 1.1/1.2 e non aggiorni i certificati radice potrai
avere problemi di "certificato non valido" con alcuni server, è per
questo motivo che la procedura include anche l'aggiornamento delle CA

[P/ero]

Per adesso i server che uso per la posta vanno correttamente.
Dopo aver TLS 1.1/1.2 ho attivato Winsdows Update e mi ha scaricato
qualche decina di aggiornamenti. È tutto a posto.

P.S. Mi sono permesso di correggere questo .reg:

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet
Explorer\AdvancedOptions\CRYPTO\TLS1.1]
"OSVersion"="3.5.1.0.0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet
Explorer\AdvancedOptions\CRYPTO\TLS1.1]
"OSVersion"="3.5.1.0.0"

perché non mi tornava che riportasse due volte la stessa chiave, quindi
quella sotto l'ho cambiata in TLS 1.2

--
* b *
* y *
* Pierо *
#v+

-audaces fortuna iuvat-
#v-

[Don Fizzy®]

P/ero scrive:

La mia versione è questa

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SecurityProviders\SCHANNEL\Protocols\TLS
1.2]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SecurityProviders\SCHANNEL\Protocols\TLS
1.2\Client]
"DisabledByDefault"=dword:00000000











--
Don Fizzy © on MV 910R "Maverick"
"Non c'é trucco non v'é inganno"
/)/)
( '.')
o(_('')('') That's all, folks! ®
Nessun bit è stato maltrattato
per spedire questo messaggio.

[P/ero]

"Don Fizzy®" [by Microsoft Outlook Express 6.00.3790.1830] on 04/11/22 20:26
wrote:

> P/ero scrive:

..._skipped!_

> | Per adesso i server che uso per la posta vanno correttamente.
> | Dopo aver TLS 1.1/1.2 ho attivato Winsdows Update e mi ha scaricato
> | qualche decina di aggiornamenti. È tutto a posto.
> |
> | P.S. Mi sono permesso di correggere questo .reg:
> |
> | Windows Registry Editor Version 5.00
> | [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet
> | Explorer\AdvancedOptions\CRYPTO\TLS1.1]
> | "OSVersion"="3.5.1.0.0"
> |
> | [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet
> | Explorer\AdvancedOptions\CRYPTO\TLS1.1]
> | "OSVersion"="3.5.1.0.0"
> |
> | perché non mi tornava che riportasse due volte la stessa chiave,
> | quindi quella sotto l'ho cambiata in TLS 1.2

> La mia versione è questa

> [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SecurityProviders\SCH
> ANNEL\Protocols\TLS 1.2]

> [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SecurityProviders\SCH
> ANNEL\Protocols\TLS 1.2\Client]
> "DisabledByDefault"=dword:00000000

Questo è quello che vedo nel mio registro:
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SecurityProviders\SCHANNEL\Protocols\TLS

1.2\Client]
"DisabledByDefault"=dword:00000000
--

* b *
* y *
* Pierо *
#v+

[P/ero]

Non ho eseguito solo la parte che riguarda:
Enable TLS 1.2 with IE 8.0 on Windows XP, così non avrebbe funzionato.
Meglio che spieghi tutta la semplice procedura, può servire a chi
volesse "rivitalizzare" il vecchio OE. :-)

Apro il link:
https://www.emailarchitect.net/easendmail/sdk/html/object_tls12.htm
da cui copio ed unisco al registro i primi due .reg poi quello relativo
ad IE 8.0, dopo averlo modificato come ho già scritto.

Scarico ed installo il KB4316682, poi scarico ed installo KB4019276
(quello relativo ad XP Embedded)

Poi avvio il Windows Update che mi scarica ed installa una grossa
quantità di aggiornamenti. Non posso elencarli tutti, sono veramente
troppi (io l'ho fatto, ma non so se sia necessario farlo)
Questo è tutto.

I server che richiedono la sicurezza del TLS 1.1/1.2 funzionano
correttamente; un solo esempio: gmx.com col quale dovevo usare
thunderbird, adesso posso inviare e ricevere posta, perché OE non ha
bisogno di altro, nemmeno modifiche alle impostazioni. :-)

--
* b *
* y *
* Pierо *
#v+

Ho nascosto qualche grammo di cervello per uso personale.
#v-

[Don Fizzy®]

P/ero scrive:

Grazie. Sto sistemando un pc proprio con XP e sebbene usando il procione
come browser (MyPal), faccio bypassare tutto, impostarlo correttamente è
meglio.

[P/ero]

"Don Fizzy®" [by Microsoft Outlook Express 6.00.3790.1830] on 06/11/22 12:55
wrote:

> P/ero scrive:

..._skipped!_

> | Non ho eseguito solo la parte che riguarda:
> | Enable TLS 1.2 with IE 8.0 on Windows XP, così non avrebbe
> funzionato. | Meglio che spieghi tutta la semplice procedura, può
> servire a chi | volesse "rivitalizzare" il vecchio OE. :-)

> | Apro il link:
> | https://www.emailarchitect.net/easendmail/sdk/html/object_tls12.htm
> | da cui copio ed unisco al registro i primi due .reg poi quello
> | relativo ad IE 8.0, dopo averlo modificato come ho già scritto.

> | Scarico ed installo il KB4316682, poi scarico ed installo KB4019276
> | (quello relativo ad XP Embedded)

> | Poi avvio il Windows Update che mi scarica ed installa una grossa
> | quantità di aggiornamenti. Non posso elencarli tutti, sono veramente
> | troppi (io l'ho fatto, ma non so se sia necessario farlo)
> | Questo è tutto.

> | I server che richiedono la sicurezza del TLS 1.1/1.2 funzionano
> | correttamente; un solo esempio: gmx.com col quale dovevo usare
> | thunderbird, adesso posso inviare e ricevere posta, perché OE non ha
> | bisogno di altro, nemmeno modifiche alle impostazioni. :-)

> Grazie. Sto sistemando un pc proprio con XP e sebbene usando il
> procione come browser (MyPal), faccio bypassare tutto, impostarlo
> correttamente è meglio.

Ma niente, mi fa piacere esserti stato utile, come tu fosti utile a me.
Però il primo grazie spetta a ObiWan che ci ha informati. :-)

--
* b *
* y *
* Pierо *
#v+

-rebus sic stantibus-
#v-

[Don Fizzy®]

"P/ero" <ppi...@woow.it.INVALID> wrote in message
news:DF-672182-07.11.22

[...]

| Ma niente, mi fa piacere esserti stato utile, come tu fosti utile a
me.
| Però il primo grazie spetta a ObiWan che ci ha informati. :-)

Ringrazieremo pure ObiWan e tutti gli amici di Guerre Stellari

[Valerio Vanni]

On Sat, 05 Nov 2022 16:13:55 +0100 (Italian-Time), "P/ero"
<ppi...@woow.it.INVALID> wrote:

>Poi avvio il Windows Update che mi scarica ed installa una grossa
>quantità di aggiornamenti. Non posso elencarli tutti, sono veramente
>troppi (io l'ho fatto, ma non so se sia necessario farlo)
>Questo è tutto.

A me invece Windows Update non ha funzionato su nessuna delle macchine
col TLS aggiornato.

Hai fatto altro?

--
Ci sono 10 tipi di persone al mondo: quelle che capiscono il sistema binario
e quelle che non lo capiscono.

[Don Fizzy®]

"Valerio Vanni" <valeri...@inwind.it> wrote in message
news:6fkimh56qeo9g70l7...@4ax.com...

| On Sat, 05 Nov 2022 16:13:55 +0100 (Italian-Time), "P/ero"
| <ppi...@woow.it.INVALID> wrote:
|
| >Poi avvio il Windows Update che mi scarica ed installa una grossa
| >quantità di aggiornamenti. Non posso elencarli tutti, sono veramente
| >troppi (io l'ho fatto, ma non so se sia necessario farlo)
| >Questo è tutto.
|
| A me invece Windows Update non ha funzionato su nessuna delle macchine
| col TLS aggiornato.
|
| Hai fatto altro?

Provare a fare un aggiornamento tramite la ricercadegli aggiornamenti
mensili?
comunque, sarebbe una buona idea installare SP4* di XP, se si trovasse
in italiano.
Ho googlato in ufficio ma l'ho trovato solo in ENG e FR e ovviamente non
si installa.

*unofficial

[P/ero]

"Valerio Vanni" [by ForteAgent/8.00.32.1272] on 07/11/22 19:45 wrote:

> On Sat, 05 Nov 2022 16:13:55 +0100 (Italian-Time), "P/ero"
> <ppi...@woow.it.INVALID> wrote:

>> Poi avvio il Windows Update che mi scarica ed installa una grossa
>> quantità di aggiornamenti. Non posso elencarli tutti, sono veramente
>> troppi (io l'ho fatto, ma non so se sia necessario farlo)
>> Questo è tutto.

> A me invece Windows Update non ha funzionato su nessuna delle macchine
> col TLS aggiornato.

> Hai fatto altro?

Niente oltre a quello già descritto.
Che non abbia funzionato WU è strano, specialmente se hai unito al
Registro il file POSReady.reg.

--
* b *
* y *
* Pierо *
#v+

Assolto perché il fatto non costituisce dibattito.
#v-

[Don Fizzy®]

P/ero scrive:

| "Valerio Vanni" [by ForteAgent/8.00.32.1272] on 07/11/22 19:45 wrote:
|
|| On Sat, 05 Nov 2022 16:13:55 +0100 (Italian-Time), "P/ero"
|| <ppi...@woow.it.INVALID> wrote:
|
||| Poi avvio il Windows Update che mi scarica ed installa una grossa
||| quantità di aggiornamenti. Non posso elencarli tutti, sono veramente
||| troppi (io l'ho fatto, ma non so se sia necessario farlo)
||| Questo è tutto.
|
|| A me invece Windows Update non ha funzionato su nessuna delle
|| macchine col TLS aggiornato.
|
|| Hai fatto altro?
|
| Niente oltre a quello già descritto.
| Che non abbia funzionato WU è strano, specialmente se hai unito al
| Registro il file POSReady.reg.

IMO avrebbe dovuto anche aggiornare il windows Installer alla versione
4.5

[Valerio Vanni]

On Tue, 8 Nov 2022 20:02:12 +0100, Don Fizzy®
<zio.fiz...@gmail.com.invalid> wrote:

>|| A me invece Windows Update non ha funzionato su nessuna delle
>|| macchine col TLS aggiornato.
>|
>|| Hai fatto altro?
>|

>| Niente oltre a quello giŕ descritto.
>| Che non abbia funzionato WU č strano, specialmente se hai unito al
>| Registro il file POSReady.reg.

Ho fatto questi passaggi:
-POSready
-KB4019276
-chiavi in
HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\
-importazione certificati
-KB4316682
-KB4230450
-chiavi in HKLM\SOFTWARE\Microsoft\Internet
Explorer\AdvancedOptions\CRYPTO\
-abilitazione protocolli nelle avanzate di IE8

>IMO avrebbe dovuto anche aggiornare il windows Installer alla versione
>4.5

Posso ancora farlo, ora provo a cercare ma sul sito di MS per XP si
trova piů poco.
Su un sistema ho il 3.01, su un altro la versione non viene rilevata.

[P/ero]

"Don Fizzy®" [by Microsoft Outlook Express 6.00.3790.1830] on 08/11/22 20:02
wrote:

> P/ero scrive:

> | "Valerio Vanni" [by ForteAgent/8.00.32.1272] on 07/11/22 19:45 wrote:

..._skipped!_

> || A me invece Windows Update non ha funzionato su nessuna delle
> || macchine col TLS aggiornato.
> |
> || Hai fatto altro?
> |
> | Niente oltre a quello già descritto.
> | Che non abbia funzionato WU è strano, specialmente se hai unito al
> | Registro il file POSReady.reg.

> IMO avrebbe dovuto anche aggiornare il windows Installer alla versione
> 4.5

Molto tempo fa aggiornai WU su richiesta del software, ma non trovo
quale versione si installò.
Come posso fare per vederla?

--
* b *
* y *
* Pierо *
#v+

-ad maiora-
#v-

[Valerio Vanni]

On Wed, 09 Nov 2022 18:06:18 +0100 (Italian-Time), "P/ero"
<ppi...@woow.it.INVALID> wrote:

>> | Niente oltre a quello già descritto.
>> | Che non abbia funzionato WU è strano, specialmente se hai unito al
>> | Registro il file POSReady.reg.
>
>> IMO avrebbe dovuto anche aggiornare il windows Installer alla versione
>> 4.5
>
>Molto tempo fa aggiornai WU su richiesta del software, ma non trovo
>quale versione si installò.
>Come posso fare per vederla?

"msiexec"

Come sospettavo, sul sito di MS non si trova più. L'ho trovato su un
altro sito
http://www.paologuccini.it/PagSnippet/Win/Windows-Installer-45.aspx
e l'ho installato, ma non ha sortito alcun effetto.

[P/ero]

"Valerio Vanni" [by ForteAgent/8.00.32.1272] on 09/11/22 22:09 wrote:

> On Wed, 09 Nov 2022 18:06:18 +0100 (Italian-Time), "P/ero"
> <ppi...@woow.it.INVALID> wrote:

..._skipped!_

>> Molto tempo fa aggiornai WU su richiesta del software, ma non trovo
>> quale versione si installò.
>> Come posso fare per vederla?

> "msiexec"

Grazie.

> Come sospettavo, sul sito di MS non si trova più. L'ho trovato su un
> altro sito
> http://www.paologuccini.it/PagSnippet/Win/Windows-Installer-45.aspx
> e l'ho installato, ma non ha sortito alcun effetto.

La mia versione è questa: 4.5.6002.24433
Se vuoi posso mettere msiexec.exe online.

--
* b *
* y *
* Pierо *
#v+

-rebus sic stantibus-
#v-