在 Windows 7 上强制使用 TLS 1.2

毕竟我想通了，这里是解释。也许它对其他人也有用。

注册表更改SCHANNEL\Protocols工作正常。它们可以使用 Internet Explorer 进行测试。Firefox 自带 HTTPS 代码，因此无法对其进行测试。

当您设置Enable=0所有 HTTPS 加密协议时，没有 HTTPS 网站将在 Internet Explorer 中运行。Ubisoft Connect 也不会，您甚至无法再登录。我停用了所有这些（SSL 2.0、SSL 3.0、TLS 1.0、TLS 1.1），但 TLS 1.2 除外。这样，将始终使用 TLS 1.2。（Win7 不支持 TLS 1.3。）然后登录再次工作，因为处理该问题的服务器似乎不受下面解释的问题的影响。

问题是，https://channel-service.upc.ubi.com/不允许Windows 7 支持的任何密码套件。而且 Windows 7 不允许您安装新的。育碧端点支持的列表相当小：https ://www.ssllabs.com/ssltest/analyze.html?d=channel-service.upc.ubi.com&s=54.147.167.217

# TLS 1.2 (suites in server-preferred order)
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (0xc02f)   ECDH x25519 (eq. 3072 bits RSA)   FS   128
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (0xc030)   ECDH x25519 (eq. 3072 bits RSA)   FS   256
TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256 (0xcca8)   ECDH x25519 (eq. 3072 bits RSA)   FS     256

这些在 Windows 7 中似乎都不可用。

这可以通过使用 Internet Explorer 访问 Github.com 和 Ubisoft 端点进行测试。Github 可以，但 Ubisoft 端点不行。两个站点都使用 TLS 1.2，但 Github 允许更多种类的密码套件：https ://www.ssllabs.com/ssltest/analyze.html?d=github.com

# TLS 1.2 (suites in server-preferred order)
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 (0xc02b)   ECDH x25519 (eq. 3072 bits RSA)   FS     128
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (0xc02f)   ECDH x25519 (eq. 3072 bits RSA)   FS   128
TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256 (0xcca9)   ECDH x25519 (eq. 3072 bits RSA)   FS   256P
TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256 (0xcca8)   ECDH x25519 (eq. 3072 bits RSA)   FS     256P
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 (0xc02c)   ECDH x25519 (eq. 3072 bits RSA)   FS     256
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (0xc030)   ECDH x25519 (eq. 3072 bits RSA)   FS   256
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256 (0xc023)   ECDH x25519 (eq. 3072 bits RSA)   FS   WEAK  128
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (0xc027)   ECDH x25519 (eq. 3072 bits RSA)   FS   WEAK    128
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384 (0xc024)   ECDH x25519 (eq. 3072 bits RSA)   FS   WEAK  256
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (0xc028)   ECDH x25519 (eq. 3072 bits RSA)   FS   WEAK    256
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA (0xc00a)   ECDH x25519 (eq. 3072 bits RSA)   FS   WEAK     256
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (0xc014)   ECDH x25519 (eq. 3072 bits RSA)   FS   WEAK   256
TLS_RSA_WITH_AES_128_GCM_SHA256 (0x9c)   WEAK   128
TLS_RSA_WITH_AES_256_GCM_SHA384 (0x9d)   WEAK   256
TLS_RSA_WITH_AES_128_CBC_SHA256 (0x3c)   WEAK   128
TLS_RSA_WITH_AES_256_CBC_SHA256 (0x3d)   WEAK   256
TLS_RSA_WITH_AES_128_CBC_SHA (0x2f)   WEAK  128
TLS_RSA_WITH_AES_256_CBC_SHA (0x35)   WEAK  256

因此，我从中得出的结论是，育碧应该将Windows 7 中支持的至少一个密码套件添加到其相关端点服务器接受的密码套件列表中。那将是理智的，好的解决方案。他们会这样做吗？... :|

我的解决方法“解决方案”是通过以下方式欺骗他们的端点服务器：

• 为 hostname 创建一个自签名证书channel-service.upc.ubi.com，将其作为根证书安装在我的机器上，并在我的网络中安装另一个（使用 Windows 10）。这是必要的，因为我们将假装是 Ubisoft 端点，而实际上我们不是。HTTPS 客户端仅检查证书链是否返回到某个根证书，正如我们刚刚添加的那样。
• 使用 ASP.NET Core 创建一个 Web 服务器应用程序，它只接收连接，并将它们“管道”到真正的 Ubisoft 端点（整个 HTTP 请求），管道返回响应。这是接受 HTTPS 连接并发回由我们的服务器加密的适当响应所必需的。（所以不仅仅是转发的 TCP 流量）
• 在我的机器上的主机文件中添加一个条目，以重定向channel-service.upc.ubi.com到我网络中的另一台机器。这是必要的，以便 Ubisoft Connect 与我们的网络服务器应用程序通信，而不是尝试向互联网发出请求。
• 在另一台（Windows 10）机器上运行网络服务器应用程序。这是必需的，因为 1) 我们无法通过修改 hosts 文件连接到机器上的实际 Ubisoft 端点，以及 2) 我们无法HttpClient连接到 Windows 7 机器上的 Ubisoft 端点，因为连接失败，就像 Internet Explorer 和 Ubisoft连接失败。但它确实适用于 Windows 10。它也适用于 Java 程序。

现在我可以提供一个“网关”了吗？“代理人”？让我网络上所有运行 Windows 7 的机器与实际的 Ubisoft 端点进行通信。他们只需要根证书和主机文件修改。万岁，我现在可以玩多人游戏并再次使用聊天功能。:)

我猜你也可以配置一个真正的代理？嗯，不确定。