Microsoft ammette: IIS Express potrebbe non ricevere mai una correzione

Microsoft ha confermato che una funzionalità chiave di Internet Information Services (IIS) e della sua versione leggera IIS Express potrebbe non ricevere mai una correzione definitiva in Windows 11. La notizia arriva direttamente da Matt Hamrick, dipendente Microsoft, che ha spiegato come il passaggio predefinito a TLS 1.3 in Windows 11 abbia introdotto limiti strutturali nella gestione delle richieste di certificati client.

Il problema nasce dall'eliminazione del meccanismo di renegotiation, disponibile in TLS 1.2 e versioni precedenti. Questa funzione consentiva al server di avviare un secondo handshake durante una sessione cifrata già in corso, in modo da richiedere un certificato client anche dopo lavvio della connessione.

Con TLS 1.3, invece, il protocollo non lo permette più, in nome di una maggiore efficienza e sicurezza. Microsoft ha giustificato la scelta spiegando che l'abbandono del renegotiation riduce i round trip, abbassa i costi di CPU e garantisce una maggiore riservatezza nell'autenticazione.

Microsoft ISS Express: non esiste un fix ufficiale

Il cambiamento, però, ha conseguenze dirette per IIS e IIS Express. Questi server web entrano in gioco solo dopo che http.sys (il driver di Windows che gestisce TLS a livello kernel) ha completato l'handshake. Ciò significa che, se un certificato non è stato richiesto già nella fase iniziale della connessione, non può più esserlo successivamente.

Nelle versioni precedenti a Windows 11 24H2 e su Windows Server 2022, http.sys terminava la connessione quando un certificato veniva richiesto tardivamente ma non supportato dal client. Dalla release 24H2 e su Windows Server 2025, invece, http.sys restituisce un errore not supported, che IIS traduce in una risposta HTTP 500 con codice 0x80070032.

Il protocollo TLS 1.3 prevede in teoria un'alternativa, chiamata post-handshake authentication, ma Microsoft ha sottolineato che la maggior parte dei client, inclusi i principali browser, non la supporta. Di conseguenza, la compatibilità resta limitata. Al momento non esiste un fix ufficiale per IIS Express e lo stesso Hamrick ha ammesso di non essere sicuro se ci sarà mai e, in caso, come potrebbe essere implementato.