Como Corrigir o Bloqueio ‘TLS 1.0 Desabilitado’ do Copilot em Endpoints Legados
🔍 WiseChecker

Como Corrigir o Bloqueio ‘TLS 1.0 Desabilitado’ do Copilot em Endpoints Legados

Por

Ao tentar conectar o Copilot a um endpoint legado, como um servidor SharePoint local ou um gateway de API antigo, você pode ver um erro de conexão que diz “TLS 1.0 Desabilitado” ou uma falha de protocolo de segurança semelhante. Esse erro ocorre porque os serviços modernos do Microsoft 365 e o Copilot exigem, no mínimo, o Transport Layer Security 1.2 para todas as conexões de rede. A causa raiz é que o endpoint legado ainda está configurado para usar TLS 1.0, que a Microsoft descontinuou em 2020 devido a vulnerabilidades de segurança. Este artigo explica por que o bloqueio acontece, como habilitar TLS 1.2 no seu servidor ou proxy e o que fazer se você não puder atualizar o endpoint.

Principais Conclusões: Atualização TLS 1.2 para Conectividade do Copilot

  • Ajuste no Registro do Windows para TLS 1.2: Habilita TLS 1.2 em todo o sistema em instalações legadas do Windows Server 2012 R2 e 2016.
  • Configuração de cifras no IIS ou servidor proxy: Força o servidor a aceitar apenas handshakes TLS 1.2, removendo o bloqueio do Copilot.
  • Substituição de TLS em nível de aplicativo: Use a configuração SchUseStrongCrypto do .NET Framework para fazer o código cliente do Copilot negociar TLS 1.2.

ADVERTISEMENT

Por que o Copilot Bloqueia Conexões TLS 1.0

Os serviços do Microsoft 365, incluindo o Copilot, impõem uma versão mínima de TLS 1.2 na camada de transporte de rede. TLS 1.0 e TLS 1.1 são considerados inseguros porque usam conjuntos de cifras fracos e são vulneráveis a ataques como POODLE e BEAST. Quando o Copilot tenta alcançar um endpoint legado que oferece apenas TLS 1.0, o gateway do Microsoft 365 retorna uma falha de handshake, que aparece como um erro “TLS 1.0 Desabilitado” para o usuário.

O bloqueio não é um bug do Copilot. É uma política de segurança imposta pela plataforma Microsoft 365. A correção exige atualizar o endpoint legado para suportar TLS 1.2, seja atualizando o sistema operacional ou habilitando manualmente o protocolo no registro e na configuração do servidor web.

Onde o Bloqueio Ocorre

O erro pode aparecer em três cenários comuns:

  • O Copilot no Microsoft 365 Chat consulta um farm do SharePoint local que usa TLS 1.0
  • Um plugin personalizado do Copilot chama uma API REST legada hospedada em uma máquina Windows Server 2012
  • Um proxy ou balanceador de carga entre o Copilot e o endpoint remove TLS 1.2 e volta para TLS 1.0

Passos para Habilitar TLS 1.2 em Servidores Windows Legados

Os passos a seguir se aplicam a Windows Server 2012 R2, Windows Server 2016 e máquinas Windows 10 ou 11 que hospedam endpoints legados. Execute estes passos no servidor que executa o servidor web, API ou proxy ao qual o Copilot se conecta.

Método 1: Habilitar TLS 1.2 via Registro

  1. Abra o Editor de Registro
    Pressione a tecla Windows + R, digite regedit e pressione Enter. Clique em Sim se o Controle de Conta de Usuário solicitar.
  2. Navegue até a subchave TLS 1.2
    Vá para HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server. Se as chaves TLS 1.2 ou Server não existirem, crie-as manualmente clicando com o botão direito na chave Protocols, selecionando Novo > Chave e nomeando-as exatamente como mostrado.
  3. Crie um DWORD para habilitar TLS 1.2
    Dentro da chave Server, clique com o botão direito na área vazia, selecione Novo > Valor DWORD (32 bits) e nomeie-o como Enabled. Defina seus dados de valor como 1 e clique em OK.
  4. Crie um DWORD para desabilitar TLS 1.0
    Navegue até HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server. Crie um DWORD chamado Enabled e defina seus dados de valor como 0. Este passo garante que o servidor recuse conexões TLS 1.0.
  5. Reinicie o servidor
    Reinicie a máquina para que as alterações no registro entrem em vigor. Após a reinicialização, qualquer servidor web ou API executado nesta máquina aceitará apenas conexões TLS 1.2.

Método 2: Habilitar TLS 1.2 no IIS

  1. Abra o Gerenciador do IIS
    Pressione a tecla Windows, digite Gerenciador dos Serviços de Informações da Internet (IIS) e abra-o.
  2. Selecione seu site
    No painel Conexões, expanda o nó do servidor, expanda Sites e selecione o site ao qual o Copilot se conecta.
  3. Abra Configurações de SSL
    Clique duas vezes em Configurações de SSL no painel central.
  4. Exija SSL e defina a política de certificado do cliente
    Marque Exigir SSL e selecione Aceitar ou Exigir para certificados de cliente, dependendo do seu modelo de autenticação. Clique em Aplicar no painel Ações.
  5. Desabilite TLS 1.0 no nível do IIS
    O IIS respeita as configurações de registro do SCHANNEL do Windows. Após aplicar as alterações de registro do Método 1, o IIS automaticamente parará de negociar TLS 1.0. Nenhuma configuração separada do IIS é necessária.

Método 3: Habilitar TLS 1.2 no .NET Framework para Plugins Personalizados do Copilot

Se o seu plugin do Copilot for escrito em C# ou outra linguagem .NET e se conectar a um endpoint legado, o .NET Framework pode usar TLS 1.0 como padrão, a menos que você defina a chave de registro SchUseStrongCrypto.

  1. Abra o Editor de Registro
    Pressione a tecla Windows + R, digite regedit e pressione Enter.
  2. Navegue até a chave do .NET Framework
    Vá para HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319.
  3. Crie o DWORD SchUseStrongCrypto
    Clique com o botão direito na chave v4.0.30319, selecione Novo > Valor DWORD (32 bits) e nomeie-o como SchUseStrongCrypto. Defina seus dados de valor como 1.
  4. Repita para aplicativos de 32 bits
    Se o seu plugin for executado como um processo de 32 bits, defina também o mesmo DWORD em HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319.
  5. Reinicie o aplicativo
    Reinicie o pool de aplicativos ou o serviço que hospeda seu plugin do Copilot para que a configuração entre em vigor.

ADVERTISEMENT

Se o Endpoint Legado Não Puder Ser Atualizado

O Conector do Copilot Ainda Mostra Erro TLS 1.0

Se você não puder modificar o endpoint legado por ser um appliance de terceiros ou um sistema sem suporte, você deve colocar um proxy reverso de terminação TLS na frente dele. Configure o proxy para aceitar TLS 1.2 do Copilot e depois encaminhe a solicitação para o endpoint legado usando TLS 1.0 internamente. Use uma ferramenta como NGINX, HAProxy ou Application Request Routing da Microsoft para realizar essa tradução. Defina o frontend do proxy para exigir TLS 1.2 e o backend para aceitar TLS 1.0.

O Plugin do Copilot Excede o Tempo Limite Após Habilitar TLS 1.2

Se a conexão for bem-sucedida, mas o Copilot exceder o tempo limite, o endpoint legado pode não suportar os conjuntos de cifras exigidos pelo TLS 1.2. Adicione os seguintes conjuntos de cifras à configuração SCHANNEL do Windows: TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 e TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256. Você pode defini-los no registro em HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers. Habilite as chaves AES 128/128 e AES 256/256.

O Copilot Retorna 403 Proibido Após Atualização TLS

Um erro 403 após habilitar TLS 1.2 geralmente indica que o certificado do endpoint legado não é confiável para o Microsoft 365. Certifique-se de que o certificado do servidor seja emitido por uma Autoridade Certificadora pública. Certificados autoassinados não são confiáveis para o Copilot. Substitua o certificado por um de uma CA confiável, como DigiCert, Let’s Encrypt ou a própria CA da Microsoft, se o endpoint fizer parte de uma floresta do Active Directory que publica certificados raiz confiáveis.

Requisitos TLS do Copilot vs. Capacidades do Endpoint Legado

Item Exigência do Copilot Padrão do Endpoint Legado
Versão mínima do TLS TLS 1.2 TLS 1.0 ou TLS 1.1
Conjuntos de cifras suportados AES-GCM, ECDHE RC4, 3DES ou cifras em modo CBC
Confiança do certificado CA pública ou CA empresarial no repositório de raízes confiáveis do locatário Autoassinado ou CA privada não publicada para o locatário
Configuração de registro SCHANNEL TLS 1.2 habilitado, TLS 1.0 e 1.1 desabilitados Configurações padrão permitem TLS 1.0
Versão do .NET Framework 4.7 ou posterior com SchUseStrongCrypto=1 4.5 ou anterior sem SchUseStrongCrypto

Agora você pode identificar por que o Copilot bloqueia o endpoint legado e aplicar a correção correta de registro ou proxy para habilitar TLS 1.2. Comece com as alterações de registro SCHANNEL no servidor do endpoint e, em seguida, verifique se o Copilot consegue se conectar usando o Analisador de Conectividade do centro de administração do Microsoft 365. Se o endpoint não puder ser alterado, implante um proxy reverso como intermediário. Para manutenção contínua, monitore os logs SCHANNEL do servidor em busca de falhas de handshake para detectar futuras incompatibilidades de TLS precocemente.

ADVERTISEMENT

← Back to WiseChecker HomeMore in Windows & PC

🔍 Recommended for You