IIS Express blijft steken op TLS 1.3 in Windows 11

In dit artikel:

IIS Express ondervindt problemen op Windows 11 wanneer TLS 1.3 actief is en er met clientcertificaten (mTLS) gewerkt wordt. Ontwikkelaars die de lightweght-webserver gebruiken voor lokale tests zien verbindingen wegklappen omdat TLS 1.3 de oude “renegotiation”-mechaniek niet meer ondersteunt, die servers zoals IIS Express eerder gebruikten om ná de initiële handshake om een clientcertificaat te vragen. Door dat gevolg loopt IIS Express vast: op Windows 11-versies vóór 24H2 en op Windows Server 2022 resulteert dit in een verbroken verbinding met ERR_CONNECTION_RESET; op Windows 11 24H2 en Windows Server 2025 wordt een HTTP 500 met foutcode 0x80070032 (“not supported”) geretourneerd.

Microsoft heeft het probleem erkend maar geeft geen zekerheid over een structurele fix. De oorzaak zit diep in de Windows-architectuur: TLS-onderhandeling gebeurt in de http.sys-kerneldriver vóór IIS, dus een oplossing vereist ingrepen op die laag. Hoewel TLS 1.3 theoretisch post-handshake client-authenticatie kent, ontbreekt brede browserondersteuning, waardoor die route praktisch weinig oplevert.

Microsoft noemt drie tijdelijke workarounds: TLS 1.3 uitschakelen via het register (system-wide terug naar TLS 1.2), de http.sys-binding aanpassen met netsh zodat het clientcertificaat tijdens de initiële handshake gevraagd wordt, of de verplichting voor clientcertificaten uit de configuratie halen (alleen aan te raden voor ontwikkelomgevingen). Omdat een blijvende oplossing onwaarschijnlijk lijkt zonder architectuurwijzigingen, blijven ontwikkelaars aangewezen op deze compromissen.