Problemi PEC ; abilitare TLS 1.1 e 1.2 in Windows 7 e 8.


L’agenzia per l’Italia Digitale (AgID) ha stabilito che, i gestori dei servizi di PEC, debbano alzare il livello di sicurezza dei servizi offerti.

Dai primi giorni di Aprile, potrebbe quindi verificarsi l’impossibilità di utilizzare la PEC, ricevendo il messaggio
“il server non supporta il tipo di crittografia di connessione specificato”.

tls e pec


A partire dal 29 marzo 2019, i software e le procedure non compatibili con TLS 1.2 che utilizzano la PEC potranno subire malfunzionamenti in invio/ricezione. Per software non compatibili si intende tutti quei software che, per funzionare, necessitano ancora delle vecchie versioni del protocollo TLS 1.0 o TLS 1.1.

Il motivo di questa svolta è che le versioni 1.0 e 1.1 del protocollo TLS non sono sicura. Per questo devono essere disabilitate sui server che vogliono avere una conformità PCI.

Su computer Windows 7 e Windows 8.0, le applicazioni create in WinHTTP (Windows HTTP Services) come Outlook, Word, ecc. supportano solo TLS 1.0. Di conseguenza, se si tentasse di stabilire una connessione sicura dal proprio client Outlook a un server GoGeek, Outlook mostrerà un messaggio di errore “il server non supporta il tipo di crittografia di connessione specificato / your server does not support the connection encryption type you have specified“.

Per risolvere il problema è sufficiente scaricare ed installare l’aggiornamento di Windows KB3140245 e scaricare, sempre da sito Microsoft. la fix MicrosoftEasyFix51044.msi , la quale provvederà a fare le necessarie modifiche al registro di configurazione.

Per Windows 7 bisogna inoltre fare una modifica al registro di configurazione per abilitare TLS 1.1 e 1.2 a livello di componente SChannel

Perchè, TLS 1.1 and 1.2 siano abilitati e possano essere negoziati in Windows 7, bisogna aggiungere “DisabledByDefault” nella sottochiave appropriate e settarla a “0”. Questi parametri non verranno creati automaticamente dall’aggiornamento o dalla fix, in quanto su Windows 7 TLS 1.1 e 1.2 sono disabilitati di default.

Ecco come modificare il registro di configurazione

Per TLS 1.1

Percorso del Registro di sistema: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Client Nome DWORD: DisabledByDefault Valore DWORD: 0

TLS 1-1

Per TLS 1.2

Percorso del Registro di sistema: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client Nome DWORD: DisabledByDefault Valore DWORD: 0

TLS 1-2


Per tutte le aziende diventa indispensabile effettuare un assessment e un censimento dei processi e delle procedure che utilizzano le PEC per assicurarsi che gli stessi siano adeguati a supportare la versione del protocollo TLS 1.2.

Se hai una azienda e hai bisogno di supporto tecnico e sistemistico, Nicolino Lodo e il Team di Tecnosistemi srl è a tua disposizione. Contattaci senza impegno.