Der Browser Chrome meldet bei Webseiten die auf einem IIS Server der auf Windows Server 2016 läuft den folgenden Fehler:
ERR_SPDY_INADEQUATE_TRANSPORT_SECURITY
Chrome lässt in diesem Fall nicht zu den Fehler zu ignorieren. Das Problem tritt auch bei Exchange 2016 Servern auf, die auf Windows Server 2016 installiert wurden.
Das Problem liegt in alten Ciphersuiten und Protokollen die selbst bei Windows Server 2016 immer noch aktiv sind. Teilweise handelt es sich dabei wirklich um uralten Kram.
Es gibt mehrere Wege das Problem aus der Welt zu schaffen, es läuft aber immer darauf hinaus die alten Cipher und Protokolle in der Windows Registry zu deaktivieren.
Um das Problem zu beheben kann die folgende REG Datei genutzt werden. Somit werden die alten Cipher deaktiviert und nach einem Neustart des Servers treten keine Probleme mehr mit Chrome auf.
Alternativ kann auch das Tool IIS Crypto eingesetzt werden, IIS Crypto nimmt die gleichen Einstellungen in der Registry vor, wie die REG Datei oben.
Das Tool IIS Crypto kann hier runtergeladen werden:
Nach dem Start, kann auch “Best Practise” geklickt werden, welches ebenfalls die alten Cipher und Protokolle deaktiviert:
Nachdem die alten Cipher deaktiviert wurden, öffnet auch Chrome die Seite problemlos:
Wer den alten Kram lieber per GPO abschalten möchte, wird hier fündig:
Gruppenrichtlinie zum Deaktivieren von SSL 3.0 und TLS 1.0 (ADM und ADMX)
Per Gruppenrichtlinie können die folgenden Protokolle abgeschaltet werden:
- MultiProtocol Unified Hello
- PCT 1.0
- SSL 2.0
- SSL 3.0
Zusätzlich können die folgenden Cipher Deaktiviert werden:
- NULL Cipher
- DES 56/56
- RC2 (alle)
- RC4 (alle)
Wichtig ist das auch hier ein Neustart des Servers durchgeführt wird.