在Windows Server 2008 R2上不会禁用TLS 1.1

Question

我有一台装有Windows Server 2008 R2的服务器。

服务器已正确设置注册表项，以允许使用TLS 1.2并阻止使用TLS 1.1或更早版本（并且计算机已重新启动并且已应用所有Windows更新）

例如对于TLS 1.1（与早期版本相似） HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SecurityProviders \ SCHANNEL \ Protocols \ TLS 1.1 \ Client DisabledByDefault == 1 启用= 0

HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SecurityProviders \ SCHANNEL \ Protocols \ TLS 1.1 \ Server DisabledByDefault == 1 启用= 0

例如对于TLS 1.2 HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SecurityProviders \ SCHANNEL \ Protocols \ TLS 1.2 \ Client DisabledByDefault == 0 启用= 1

HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SecurityProviders \ SCHANNEL \ Protocols \ TLS 1.2 \ Server DisabledByDefault == 0 启用= 1

此外，不确定是否需要它们，但我有

HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Internet设置\ WinHttp DefaultSecureProtocols = 0x00000800

HKEY_LOCAL_MACHINE \ SOFTWARE \ Wow6432Node \ Microsoft \ Windows \ CurrentVersion \ Internet设置\ WinHttp DefaultSecureProtocols = 0x00000800

在盒子上运行的网站针对.NET 4.7

该网站在Global.aspx的应用程序启动中具有以下代码

System.Net.ServicePointManager.SecurityProtocol = SecurityProtocolType.Tls12;

（我知道声明TLS版本不向前兼容）

我可以使用TLS 1.2成功连接到网站

我无法使用TLS 1.0或更早版本连接到该网站。因此，禁用该设置的注册表设置似乎有效。

尽管我拥有正确的注册表信息，但我仍可以使用TLS 1.1连接到该网站。我已经通过

对此进行了验证

1. 将服务器上的Firefox更改为仅使用TLS 1.1，并通过访问https://www.ssllabs.com/ssltest/viewMyClient.html
检查其是否确实使用了TLS 1.1
2. 在我的本地计算机上将firefox更改为仅使用TLS 1.1，并通过访问https://www.ssllabs.com/ssltest/viewMyClient.html
检查其是否确实使用了TLS 1.1

我还可以看到网站支持的TLS版本 https://www.ssllabs.com/ssltest/ （它针对1.2和1.1表示“是”，针对其他所有条件表示“否”）

我们需要为特定客户端禁用TLS 1.1（我们知道服务器更改会影响所有网站）。那么，要禁用TLS 1.1，我还需要做些什么？