Здравствуйте !

Помогите пожалуйста с вопросом о поднятии через stunnel-msspi соединения протоколу TLS v1.2.

Установил на Windows 7 SP1 последний ( stunnel-5.56-msspi-0.155 ) stunnel-msspi. КриптоПро не установлен.
В режиме sspi клиент stunnel нормально видит сертификаты из Windows store и устанавливает соединение по протоколу TLS v1.0.
В случае, если удаленный хост поддерживает только TLS v1.2 то соединение рвется.

Один из тестировавшихся конфигов stunnel'а:

debug = debug
output = stunnel-clt.log
verify = 2
msspi = yes
[tls12-test]
client = yes
accept = 127.0.0.1:8012
connect = tls-v1-2.badssl.com:1012
verifyChain = yes
checkHost = tls-v1-2.badssl.com

При переключении в режим openssl ( msspi = no и добавки CAfile = ca-certs.pem) соединение по протоколу TLS v1.2 нормально устанавливается.

Проверял для нескольких вариантов удаленного сервера в т.ч поднимал свой TLS сервер на stunnel'е от Michal Trojnara . Результаты аналогичны: в режиме msspi клиент stunnel-msspi не устанавливает соединение по протоколу TLS v1.2, только TLS v1.0.

Вопрос: Поддерживает ли Windows stunnel-msspi ( в отсутствии КриптоПро ) в режиме msspi протокол TLS v1.2 ?

P.S. Тестировал соединение клиента stunnel-msspi в режиме msspi с удаленным TLS сервером ( немодифицированный stunnel v. 5.56 от Michal Trojnara ) , залоченным на протокол TLS v1.2 .

Конфиг клиента stunnel-msspi :
debug = debug
output = stunnel-clt.log
verify = 2
msspi = yes
[daytimes-client]
client = yes
accept = 127.0.0.1:20013
verifyChain = yes
connect = 127.0.0.1:10013
sni = st.taro.com
checkIP = 127.0.0.1

Конфиг stunnel-сервера:

debug = debug
output = stunnel.log
verify = 0
sslVersion = TLSv1.2
[daytimes]
accept = 10013
connect = 13
CAfile = Taro_CA.crt
cert = Taro_stunnel_server3.pem


Stunnel-сервер рвет соединение с ошибкой в логе:
.....
2019.12.27 13:35:25 LOG5[0]: Service [daytimes] accepted connection from 127.0.0.1:49876
2019.12.27 13:35:25 LOG6[0]: Peer certificate not required
2019.12.27 13:35:25 LOG7[0]: TLS state (accept): before SSL initialization
2019.12.27 13:35:25 LOG7[0]: TLS state (accept): before SSL initialization
2019.12.27 13:35:25 LOG7[0]: TLS alert (write): fatal: protocol version
2019.12.27 13:35:25 LOG3[0]: SSL_accept: ssl/statem/statem_srvr.c:1666: error:14209102:SSL routines:tls_early_post_process_client_hello:unsupported protocol
2019.12.27 13:35:25 LOG5[0]: Connection reset: 0 byte(s) sent to TLS, 0 byte(s) sent to socket
2019.12.27 13:35:25 LOG7[0]: Local descriptor (FD=248) closed
2019.12.27 13:35:25 LOG7[0]: Service [daytimes] finished (0 left)

При отключении на стороне клиента режима msspi соединение TLSv1.2 устанавливается без ошибок.

Большое спасибо.
Помогло.
TLS v1.2 заработало после установки обновления kb3140245 ( согласно https://support.microsof...t-secure-protocols-in-wi ) и внесение в реестр Windows настроек, разрешающих SCHANNEl использовать TLS v.1.2 .

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Client]
"DisabledByDefault"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
"DisabledByDefault"=dword:00000000

Вывод: stunnel-msspi может использовать сертификаты из Windows store и сединяться по протоколу TLS 1.2 в отличии от stunnel c https://stunnel.org , который использует Windows store через CAPI engine и ограничен TLS v1.1 .