Kako onemogućiti tls 1.2 protokol. TLS protokol u Internet Exploreru

Ako naiđete na problem u kojem pristup određenoj web-lokaciji ne uspije i u vašem pregledniku se pojavi poruka, postoji razumno objašnjenje za to. Uzroci i rješenja problema dati su u ovom članku.

SSL TLS protokol

Korisnici budžetskih organizacija, i to ne samo budžetskih, čije su aktivnosti direktno vezane za finansije, u saradnji sa finansijskim organizacijama, na primer, Ministarstvom finansija, Trezorom i dr., sve svoje poslove obavljaju isključivo korišćenjem sigurnog SSL protokola. . U osnovi, u svom radu koriste pretraživač Internet Explorer. U nekim slučajevima, Mozilla Firefox.

SSL greška

Glavna pažnja, prilikom izvođenja ovih operacija, i rada uopšte, posvećena je sistemu zaštite: sertifikatima, elektronskim potpisima. Za rad se koristi softver CryptoPro trenutne verzije. U vezi problemi sa SSL i TLS protokolima, Ako SSL greška pojavio, najvjerovatnije ne postoji podrška za ovaj protokol.

TLS greška

TLS greška u mnogim slučajevima to takođe može ukazivati ​​na nedostatak podrške za protokol. Ali... da vidimo šta se može učiniti u ovom slučaju.

Podrška za SSL i TLS protokole

Dakle, kada koristite Microsoft Internet Explorer za posjetu web stranici preko SSL-a, prikazuje se naslovna traka Uvjerite se da su ssl i tls omogućeni. Prije svega, morate omogućiti podršku za TLS 1.0 protokol u Internet Exploreru.

Ako posjećujete web lokaciju koja koristi Internet Information Services 4.0 ili noviju verziju, konfiguriranje Internet Explorera da podržava TLS 1.0 pomaže u zaštiti vaše veze. Naravno, pod uslovom da udaljeni web server koji pokušavate koristiti podržava ovaj protokol.

Da biste to učinili, meni Servis odaberite tim Internet opcije.

Na kartici Dodatno U poglavlju Sigurnost, provjerite jesu li odabrani sljedeći potvrdni okviri:

  • Koristite SSL 2.0
  • Koristite SSL 3.0
  • Koristite SSL 1.0

Kliknite na dugme Prijavite se , i onda uredu . Ponovo pokrenite pretraživač .

Nakon što omogućite TLS 1.0, pokušajte ponovo posjetiti web stranicu.

Politika sigurnosti sistema

Ako ih još ima greške sa SSL i TLS ako još uvijek ne možete koristiti SSL, udaljeni web server vjerovatno ne podržava TLS 1.0. U ovom slučaju, morate onemogućiti sistemsku politiku koja zahtijeva algoritme usklađene s FIPS.

Da biste to uradili, u Kontrolni paneli izaberite Administracija, a zatim dvaput kliknite Lokalna sigurnosna politika.

U lokalnim sigurnosnim postavkama proširite čvor Lokalne politike, a zatim kliknite na dugme Sigurnosne opcije.

U skladu sa politikom na desnoj strani prozora, dvaput kliknite Sistemska kriptografija: Koristite algoritme usklađene sa FIPS-om za šifriranje, heširanje i potpisivanje, a zatim kliknite na dugme Onemogućeno.

Pažnja!

Promjena stupa na snagu nakon ponovne primjene lokalne sigurnosne politike. Uključite ga, ponovo pokrenite pretraživač.

CryptoPro TLS SSL

Ažurirajte CryptoPro

Jedna od opcija za rješavanje problema je ažuriranje CryptoPro-a, kao i postavljanje resursa. U ovom slučaju radi se o radu sa elektronskim plaćanjem. Idite na Certification Authority. Za resurs odaberite E-Tržišta.

Nakon pokretanja automatskog podešavanja radnog mesta, postojaće samo sačekajte da se procedura završi, onda ponovo pokrenite pretraživač. Ako trebate unijeti ili odabrati adresu resursa, odaberite onu koja vam je potrebna. Možda ćete morati da ponovo pokrenete računar nakon što se podešavanje završi.

TLS protokol šifrira sve vrste internetskog prometa, čime komunikaciju i prodaju na Internetu čini sigurnim. Razgovaraćemo o tome kako protokol funkcioniše i šta nas čeka u budućnosti.

Iz članka ćete naučiti:

Šta je SSL

SSL ili Secure Sockets Layer je originalno ime za protokol koji je razvio Netscape sredinom 90-ih. SSL 1.0 nikada nije bio javno dostupan, a verzija 2.0 imala je ozbiljne nedostatke. SSL 3.0 protokol, objavljen 1996. godine, potpuno je revidiran i dao je ton za sljedeću fazu razvoja.

Šta je TLS?

Kada je 1999. objavljena sljedeća verzija protokola, standardizirana je od strane posebne Radne grupe za dizajn Interneta i dobila je novo ime: Transport Layer Security ili TLS. Kako TLS dokumentacija kaže, "razlika između ovog protokola i SSL 3.0 nije kritična." TLS i SSL čine seriju protokola koja se stalno ažurira i često se skupljaju pod imenom SSL/TLS.

TLS protokol šifrira internetski promet bilo koje vrste. Najčešći tip je web promet. Znate kada vaš pretraživač uspostavi TLS vezu - ako veza u adresnoj traci počinje sa "https".

TLS se također koristi u drugim aplikacijama kao što su pošta i sistemi za telekonferencije.

Kako TLS radi

Enkripcija je neophodna za bezbednu komunikaciju na Internetu. Ako vaši podaci nisu šifrirani, svatko ih može analizirati i pročitati osjetljive informacije.

Najsigurniji način šifriranja je asimetrično šifrovanje. Za ovo su potrebna 2 ključa, 1 javni i 1 privatni. To su fajlovi sa informacijama, najčešće veoma velikim brojevima. Mehanizam je složen, ali jednostavno rečeno, možete koristiti javni ključ za šifriranje podataka, ali vam je potreban privatni ključ da ih dešifrujete. Dva ključa su povezana pomoću složene matematičke formule koju je teško hakovati.

Javni ključ možete zamisliti kao informaciju o lokaciji zatvorenog poštanskog sandučeta sa rupom, a privatni ključ kao ključ koji otvara kutiju. Svako ko zna gde se nalazi kutija može u nju staviti pismo. Ali da bi je pročitao, osobi je potreban ključ da otvori kutiju.

Budući da asimetrična enkripcija koristi složene matematičke proračune, zahtijeva mnogo računarskih resursa. TLS rješava ovaj problem korištenjem asimetrične enkripcije samo na početku sesije za šifriranje komunikacije između servera i klijenta. Server i klijent moraju se dogovoriti oko jednog ključa sesije, koji oboje koriste za šifriranje paketa podataka.

Poziva se proces kojim se klijent i server dogovaraju oko ključa sesije rukovanje. Ovo je trenutak kada se 2 kompjutera koji komuniciraju predstavljaju jedan drugom.

TLS proces rukovanja

Proces TLS rukovanja je prilično složen. Koraci u nastavku prikazuju proces općenito kako biste razumjeli kako funkcionira općenito.

  1. Klijent kontaktira server i zahteva sigurnu vezu. Server odgovara sa šifrovanom listom - algoritamskim skupom za stvaranje šifrovanih veza - koju zna da koristi. Klijent upoređuje listu sa svojom listom podržanih šifri, bira odgovarajuću i daje do znanja serveru koju će koristiti zajedno.
  2. Server daje svoj digitalni sertifikat - elektronski dokument potpisan od treće strane koji potvrđuje autentičnost servera. Najvažnija informacija u certifikatu je javni ključ šifre. Klijent potvrđuje autentičnost certifikata.
  3. Koristeći javni ključ servera, klijent i server uspostavljaju ključ sesije, koji će oboje koristiti tokom cijele sesije za šifriranje komunikacije. Za to postoji nekoliko metoda. Klijent može koristiti javni ključ za šifriranje proizvoljnog broja, koji se zatim šalje serveru na dešifriranje, a obje strane zatim koriste ovaj broj za uspostavljanje ključa sesije.

Ključ sesije vrijedi samo za jednu kontinuiranu sesiju. Ako je iz nekog razloga komunikacija između klijenta i servera prekinuta, biće potrebno novo rukovanje da bi se uspostavio novi ključ sesije.

Ranjivosti u TLS 1.2 i TLS 1.2 protokolima

TLS 1.2 je najrasprostranjenija verzija protokola. Ova verzija instalirala je originalnu platformu opcija šifriranja sesije. Međutim, kao i neke prethodne verzije protokola, ovaj protokol je dozvoljavao korištenje starijih tehnika šifriranja kako bi podržao starije računare. Nažalost, ovo je rezultiralo ranjivostima u verziji 1.2 jer su ovi stariji mehanizmi šifriranja postali ranjiviji.

Na primjer, TLS 1.2 protokol je postao posebno osjetljiv na napade neovlaštenog pristupa, u kojima haker presreće pakete podataka usred sesije i šalje ih nakon što ih pročita ili modificira. Mnogi od ovih problema su se pojavili u protekle 2 godine, pa je postalo hitno napraviti ažuriranu verziju protokola.

TLS 1.3

Verzija 1.3 TLS protokola, koja će uskoro biti finalizirana, rješava mnoge probleme sa ranjivostima tako što odbacuje podršku za stare sisteme šifriranja.
Nova verzija ima kompatibilnost sa prethodnim verzijama: na primjer, veza će se vratiti na TLS verziju 1.2 ako jedna od strana ne može koristiti noviji sistem šifriranja na listi dozvoljenih algoritama verzije 1.3 protokola. Međutim, u napadu tipa ometanja veze, ako haker nasilno pokuša da vrati verziju protokola na 1.2 usred sesije, ova radnja će biti uočena i veza će biti prekinuta.

Kako omogućiti podršku za TLS 1.3 u preglednicima Google Chrome i Firefox

Firefox i Chrome podržavaju TLS 1.3, ali ova verzija nije omogućena po defaultu. Razlog je taj što do sada postoji samo u nacrtu.

Mozilla Firefox

Upišite about:config u adresnu traku vašeg pretraživača. Potvrdite da razumijete rizike.

  1. Otvorit će se uređivač postavki Firefoxa.
  2. Unesite security.tls.version.max u pretragu
  3. Promijenite vrijednost na 4 dvostrukim klikom na trenutnu vrijednost.



google chrome

  1. Upišite chrome://flags/ u adresnu traku vašeg pretraživača da otvorite panel za eksperimente.
  2. Pronađite opciju #tls13-varijanta
  3. Kliknite na meni i postavite Enabled (Draft).
  4. Ponovo pokrenite pretraživač.

Kako provjeriti da li vaš pretraživač koristi verziju 1.2

Podsjećamo vas da verzija 1.3 još nije u javnoj upotrebi. Ako ne želite
koristite nacrt verziju, možete ostati na verziji 1.2.

Da biste provjerili da li vaš preglednik koristi verziju 1.2, slijedite iste korake kao u gornjim uputama i uvjerite se da:

  • Za Firefox, vrijednost security.tls.version.max je 3. Ako je niža, promijenite je na 3 dvostrukim klikom na trenutnu vrijednost.
  • Za Google Chrome: kliknite na meni pretraživača - odaberite Postavke- izaberite Prikaži napredne postavke- idi dole u sekciju Sistem i kliknite na Otvori postavke proxyja…:

  • U prozoru koji se otvori kliknite na karticu Sigurnost i provjerite je li označeno polje Koristi TLS 1.2. Ako se ne isplati, podesite i kliknite OK:


Promjene će stupiti na snagu nakon što ponovo pokrenete računar.

Brzi alat za provjeru verzije SSL/TLS protokola vašeg pretraživača

Idite na SSL Labs Online Protocol Version Checker. Stranica će u realnom vremenu pokazati koja se verzija protokola koristi i da li je pretraživač ranjiv na bilo kakve ranjivosti.

Izvori: prevod

U oktobru su Google inženjeri objavili informacije o kritičnoj ranjivosti u SSL verzija 3.0 sa smiješnim imenom POODLE(Padding Oracle na starijoj enkripciji ili pudlu 🙂). Ranjivost omogućava napadaču da dobije pristup informacijama šifriranim SSLv3 protokolom koristeći napad "čovjek u sredini". Ranjivosti utiču i na servere i na klijente koji se mogu povezati pomoću SSLv3 protokola.

Općenito, situacija nije iznenađujuća, jer. protokol SSL 3.0, prvi put predstavljen 1996. godine, već ima 18 godina i moralno je zastario. U većini praktičnih zadataka već je zamijenjen kriptografskim protokolom TLS(verzije 1.0, 1.1 i 1.2).

Za zaštitu od ranjivosti POODLE, u potpunosti se preporučuje onemogućite SSLv3 podršku na strani klijenta i servera a zatim koristite samo TLS. Za korisnike naslijeđenog softvera (na primjer, one koji koriste IIS 6 na Windows XP), to znači da više neće moći gledati HTTPS stranice i koristiti druge SSL usluge. U slučaju da podrška za SSLv3 nije potpuno onemogućena, a jača enkripcija je standardno ponuđena, POODLE ranjivost će se i dalje pojaviti. To je zbog posebnosti izbora i dogovaranja protokola šifriranja između klijenta i servera, jer kada se otkriju problemi u korištenju TLS-a, dolazi do automatskog prijelaza na SSL.

Preporučujemo da provjerite sve svoje usluge koje mogu koristiti SSL/TLS u bilo kojem obliku i onemogućite podršku za SSLv3. Možete provjeriti ranjivosti na vašem web serveru koristeći online test, na primjer, ovdje: http://poodlebleed.com/.

Bilješka. Mora se jasno shvatiti da će onemogućavanje SSL v3 na nivou sistema raditi samo za softver koji koristi sistemske API-je za SSL enkripciju (Internet Explorer, IIS, SQL NLA, RRAS, itd.). Programe koji koriste vlastite kripto alate (Firefox, Opera, itd.) potrebno je ažurirati i konfigurirati pojedinačno.

Onemogućite SSLv3 u Windowsu na nivou sistema

Na Windows-u, SSL/TLS podrškom se upravlja putem registra.

U ovom primjeru ćemo pokazati kako potpuno onemogućiti SSLv3 na nivou sistema (i na nivou klijenta i na nivou servera) u Windows Server 2012 R2:

Onemogućite SSLv2 (Windows 2008 / Server i niže)

U OS-ovima prije Windows 7 / Windows Server 2008 R2, prema zadanim postavkama koristi se još manje siguran i zastarjeli protokol SSLv2, koji bi takođe trebalo da bude onemogućen iz bezbednosnih razloga (na novijim verzijama Windowsa, SSLv2 na nivou klijenta je podrazumevano onemogućen i koriste se samo SSLv3 i TLS1.0). Da biste onemogućili SSLv2, morate ponoviti gornju proceduru, samo za ključ registratora SSL 2.0.

U operativnom sistemu Windows 2008/2012 SSLv2 na nivou klijenta je podrazumevano onemogućen.

Omogućite TLS 1.1 i TLS 1.2 na Windows Server 2008 R2 i novijim verzijama

Windows Server 2008 R2 / Windows 7 i noviji podržavaju TLS 1.1 i TLS 1.2 algoritme šifriranja, ali su ovi protokoli onemogućeni po defaultu. Možete omogućiti podršku za TLS 1.1 i TLS 1.2 u ovim verzijama Windowsa koristeći sličan scenario


Uslužni program za upravljanje sistemskim kriptografskim protokolima u Windows Serveru

Postoji besplatni IIS Crypto uslužni program koji vam omogućava da jednostavno upravljate parametrima kriptografskih protokola u Windows Serveru 2003, 2008 i 2012. Koristeći ovaj uslužni program, možete omogućiti ili onemogućiti bilo koji od protokola za šifriranje u samo dva klika.

Program već ima nekoliko predložaka koji vam omogućavaju brzu primjenu unaprijed postavljenih postavki za različite opcije sigurnosnih postavki.

Problem

Prilikom pokušaja ulaska na lični račun GIIS-a "Elektronski budžet", pojavljuje se poruka o grešci:

Nije moguće prikazati ovu stranicu

Omogućite TLS 1.0, TLS 1.1 i TLS 1.2 protokole u odjeljku Napredne postavke i pokušajte se ponovo povezati na https://ssl.budgetplan.minfin.ru web stranicu. Ako greška i dalje postoji, kontaktirajte administratora web stranice.

Rješenje

Potrebno je provjeriti postavke radnog mjesta prema dokumentu.

Uputstva ne spominju nekoliko stvari:

  1. Morate instalirati CryptoPro EDS dodatak za pretraživač i provjerite na demo stranici.
  2. Potrebno je onemogućiti filtriranje SSL/TLS protokola u antivirusnim postavkama, drugim riječima, za stranicu koju tražite, trebate napraviti izuzetak za provjeru sigurne veze. U različitim antivirusima može se drugačije zvati. Na primjer, u Kaspersky Free morate ići "Postavke>Napredno>Mreža>Ne skeniraj sigurne veze" .

TLS je nasljednik SSL-a, protokola koji pruža pouzdanu i sigurnu vezu između čvorova na Internetu. Koristi se u razvoju različitih klijenata, uključujući pretraživače i klijent-server aplikacije. Šta je TLS u Internet Exploreru?

Malo o tehnologiji

Sva preduzeća i organizacije koje se bave finansijskim transakcijama koriste ovaj protokol kako bi isključile prisluškivanje paketa i neovlašćeni pristup uljeza. Ova tehnologija je dizajnirana da zaštiti važne veze od zlonamjernih napada.

U osnovi, u svojoj organizaciji koriste ugrađeni pretraživač. U nekim slučajevima, Mozilla Firefox.

Omogućite ili onemogućite protokol

Nekim sajtovima se ponekad ne može pristupiti zbog činjenice da je podrška za SSL i TLS tehnologije onemogućena. U pretraživaču se pojavljuje obavijest. Dakle, kako omogućiti protokolima da nastave koristiti sigurnu komunikaciju?
1.Otvorite Control Panel preko Start. Drugi način: otvorite Explorer i kliknite na ikonu zupčanika u gornjem desnom uglu.

2. Idite na odjeljak "Internet Options" i otvorite blok "Advanced".

3. Označite kućice pored "Koristi TLS 1.1 i TLS 1.2".

4. Kliknite OK da sačuvate promjene. Ako želite da onemogućite protokole, što je veoma obeshrabreno, posebno ako koristite internet bankarstvo, poništite iste stavke.

Koja je razlika između 1.0 i 1.1 i 1.2? 1.1 je samo malo poboljšana verzija TLS 1.0, koja je djelimično naslijedila njegove nedostatke. 1.2 je najsigurnija verzija protokola. S druge strane, ne mogu se otvoriti sve stranice s omogućenom verzijom ovog protokola.

Kao što znate, Skype messenger je direktno povezan sa Internet Explorerom kao Windows komponentom. Ako nemate potvrđen TLS protokol u postavkama, može doći do problema sa Skypeom. Program jednostavno neće moći da se poveže sa serverom.

Ako je podrška za TLS onemogućena u postavkama Internet Explorera, sve funkcije programa povezane s mrežom neće raditi. Štoviše, sigurnost vaših podataka ovisi o ovoj tehnologiji. Nemojte zanemariti ako obavljate finansijske transakcije u ovom pretraživaču (kupovina u online prodavnicama, transfer novca putem internet bankarstva ili elektronskog novčanika, itd.).

mob_info