问Delphi w Indy 10:无法通过TLS 1.2 w SSL连接web服务器上的“最佳实践”

EN

问题：如何让Indy 10与强制执行最新TLS1.2SSL最佳实践的web服务器协同工作？

--最佳实践是由微软记录的： https://technet.microsoft.com/library/security/ms12-006本质上来说，跨多个TLS版本使用的一大块密码被认为是不安全的。请注意，这个kb是从2013年年中，远早于贵宾犬。

作为一种最佳实践，德尔福社区有一些关于猛兽攻击的文章，这些文章还建议禁用基于CBC的密码(http://www.atozedsoftware.com/Intraweb/Blog/20120905.EN.aspx)。

最佳实践摘要：的主要漏洞包括猛兽和贵宾犬攻击。这里的场景既不尖锐，也不狭窄。这是“如何使一个真正现代化的、可靠的、基于Indy10+OpenSSL的SSL客户端”主题。简而言之，这些漏洞表明要避免SSL 2/3，在许多情况下，TLS 1.0也被认为是易受攻击的。许多基于CBC的密码被认为是不安全的。

我要补充一点:这不是假设性的。2014年早些时候，我们有一位渗透测试顾问(Poodle)在他的报告中提到，我们的应用服务器(针对我们的web应用程序)仅被设置为TLS 1.2，所有其他SSL协议都将被禁用。这位顾问是一家大型网络安全公司的一部分，他们在每一次审查中都建议这样做。我相信他们所做的是行业标准。

Indy 10 build: gsIdVersion =10.6.0.5213；

在代码中，indy被设置为: SSLOptions.SSLVersions := sslvSSLv23

和openssl库： 1.0.1.10 / 1.0.1J

使用with 2012-R2服务器进行测试，使用ssl证书。我们正在逐步降低web服务器上的SSL，以符合最新的SSL最佳实践。

我们发现了一个问题: Indy 10在执行最佳实践和TLS 1.2时无法连接。

浏览器连接得很好。

我们测试的方式：

• 2012年-R2，商业SSL证书。
• 使用Nartac软件"iis crypto“UI修改Win2012服务器上的SSL (Win2012配置)(下面的屏幕截图)

结果：

• 当我们只实现“最佳实践”时，Indy10可以很好地连接。OpenSSL日志信息： SSL状态："SSL协商成功完成“ 密码:名称=ese256-SHA；描述=res256-SHA SSLv3 Kx=RSA Au=RSA Enc=AES(256) Mac=SHA1；bits = 256；version =TLSv1 1/SSLv3 3；
• 但是，当我们采取上述，我们禁用TLS 1.0和TLS 1.1，indy应用程序不能再连接。打开SSL日志： SSL状态：“SSL 2/v3写客户机hello A” SSL状态：“SSLv2 2/v3读取服务器hello A”套接字错误# 10054由对等方重置连接。

这里是implements：(下面的“最佳实践”按钮在一次单击中实现了Microsoft在这里推荐的内容：https://technet.microsoft.com/library/security/ms12-006 )

​

​