Как да активирам протокола tls 1.2. TLS протокол в Internet Explorer

Признаци на бременност след имплантиране на ембрион

Ако се натъкнете на проблем, при който достъпът до конкретен сайт е неуспешен и в браузъра ви се появява съобщение, има разумно обяснение за това. Причините и решенията на проблема са дадени в тази статия.

SSL TLS протокол

Ползватели на бюджетни организации, и не само бюджетни, чиято дейност е пряко свързана с финансите, във взаимодействие с финансова институция, например Министерството на финансите, Министерството на финансите и т.н., извършват всички свои операции изключително чрез защитения SSL протокол. По принцип в работата си те използват интернет браузърИзследовател. В някои случаи - Mozilla Firefox.

SSL грешка

Основното внимание при извършването на тези операции и работата като цяло се обръща на системата за сигурност: сертификати, електронни подписи. Използван за работа софтуерКриптоПро сегашна версия. Относно проблеми с SSL и TLS протоколи, Ако SSL грешка появи, най-вероятно няма поддръжка за този протокол.

TLS грешка

TLS грешкав много случаи това може да показва и липса на поддръжка на протокол. Но... да видим какво може да се направи в този случай.

Поддръжка на SSL и TLS протокол

Така че, когато с помощта на Microsoft Internet Explorerза да посетите уебсайт, защитен с SSL, се показва заглавната лента Уверете се, че протоколите ssl и tls са активирани. На първо място, трябва да активирате поддръжката на протокола TLS 1.0 в Internet Explorer.

Ако посещавате уебсайт, който изпълнява Internet Information Services 4.0 или по-нова версия, конфигурирането на Internet Explorer да поддържа TLS 1.0 помага да защитите връзката си. Разбира се, при условие че отдалеченият уеб сървър, който се опитвате да използвате, поддържа този протокол.

За да направите това в менюто Обслужванеизберете отбор интернет настройки.

В раздела ДопълнителноВ глава Безопасност, уверете се, че следните квадратчета са избрани:

  • Използвайте SSL 2.0
  • Използвайте SSL 3.0
  • Използвайте SSL 1.0

Щракнете върху бутона Приложи , и тогава Добре . Рестартирайте браузъра си .

След като активирате TLS 1.0, опитайте да посетите уебсайта отново.

Политика за сигурност на системата

Ако все пак се появят грешки с SSL и TLSАко все още не можете да използвате SSL, отдалеченият уеб сървър вероятно не поддържа TLS 1.0. В този случай трябва да деактивирате системната политика, която изисква FIPS-съвместими алгоритми.

За да направите това, в Контролни панелиизберете Администрацияи след това щракнете двукратно Местна политика за сигурност.

Разгънете в Локални настройки за сигурност Местни политикии след това щракнете върху бутона Настройки на сигурността.

Според правилата от дясната страна на прозореца щракнете два пъти Системна криптография: използвайте FIPS-съвместими алгоритми за криптиране, хеширане и подписванеи след това щракнете върху бутона хора с увреждания.

внимание!

Промяната влиза в сила след повторно кандидатстване местна политикасигурност. Включете го и рестартирайте браузъра си.

CryptoPro TLS SSL

Актуализирайте CryptoPro

Една от възможностите за решаване на проблема е да актуализирате CryptoPro, както и да конфигурирате ресурса. В този случай това е работа с електронни плащания. Отидете на Сертифициращ орган. Изберете Electronic Marketplaces като ресурс.

След стартиране автоматични настройкиработно място, ще има само изчакайте процедурата да приключи, тогава презаредете браузъра. Ако трябва да въведете или изберете адрес на ресурс, изберете този, от който се нуждаете. Може също да се наложи да рестартирате компютъра си, когато настройката приключи.

През октомври инженерите на Google публикуваха информация за критична уязвимост V SSL версия 3.0, който получи забавно име ПУДЕЛ(Попълване на Oracle при понижено наследено криптиране или пудел 🙂). Уязвимостта позволява на атакуващ да получи достъп до информация, криптирана с протокола SSLv3, използвайки атака „man in“ средата" Както сървърите, така и клиентите, които могат да се свързват с помощта на протокола SSLv3, са уязвими към уязвимостта.

Като цяло ситуацията не е изненадваща, защото... протокол SSL 3.0, въведен за първи път през 1996 г., вече е на 18 години и вече е морално остарял. В повечето практически задачи той вече е заменен от криптографски протокол TLS(версии 1.0, 1.1 и 1.2).

За защита срещу уязвимостта на POODLE се препоръчва напълно деактивирайте поддръжката на SSLv3 както от страната на клиента, така и от страната на сървъраи оттук нататък използвайте само TLS. За потребители на наследен софтуер (като тези, които използват IIS 6 на Windows XP), това означава, че те вече няма да могат да преглеждат HTTPS страници или да използват други SSL услуги. Ако поддръжката на SSLv3 не е напълно деактивирана и по подразбиране се предлага по-силно криптиране, уязвимостта на POODLE все още ще съществува. Това се дължи на особеностите при избора и съгласуването на протокола за криптиране между клиент и сървър, т.к. Ако бъдат открити проблеми при използването на TLS, се извършва автоматичен преход към SSL.

Препоръчваме ви да проверите всички ваши услуги, които могат да използват SSL/TLS под каквато и да е форма, и да деактивирате поддръжката на SSLv3. Можете да проверите вашия уеб сървър за уязвимости, като използвате онлайн тест, например тук: http://poodlebleed.com/.

Забележка. Трябва ясно да се разбере, че деактивирането на SSL v3 на ниво система ще работи само за софтуер, който използва системни API за SSL криптиране (Internet Explorer, IIS, SQL NLA, RRAS и др.). Програмите, които използват свои собствени крипто инструменти (Firefox, Opera и т.н.), трябва да бъдат актуализирани и конфигурирани индивидуално.

Деактивиране на SSLv3 в Windows на системно ниво

В ОС Windows контролподдръжката на SSL/TLS протоколи се предоставя чрез системния регистър.

В този пример ще покажем как напълно да деактивирате SSLv3 на системно ниво (както ниво клиент, така и ниво сървър) в Windows сървър 2012 R2:

Деактивирайте SSLv2 (Windows 2008 / Server и по-стари)

Операционните системи преди Windows 7 / Windows Server 2008 R2 използват дори по-малко защитен и остарял протокол по подразбиране SSL v2, което също трябва да бъде деактивирано от съображения за сигурност (в по-нови Windows версии, SSLv2 на ниво клиент е деактивиран по подразбиране и се използват само SSLv3 и TLS1.0). За да деактивирате SSLv2, трябва да повторите процедурата, описана по-горе, само за ключа на системния регистър SSL 2.0.

В Windows 2008/2012 SSLv2 е деактивиран на ниво клиент по подразбиране.

Активирайте TLS 1.1 и TLS 1.2 в Windows Server 2008 R2 и по-нова версия

Windows Server 2008 R2 / Windows 7 и по-нови поддържат алгоритми за криптиране TLS 1.1 и TLS 1.2, но тези протоколи са деактивирани по подразбиране. Можете да активирате поддръжка за TLS 1.1 и TLS 1.2 в тези версии на Windows, като използвате подобен сценарий


Помощна програма за управление на системни криптографски протоколи в Windows Server

Съществува безплатна помощна програма IIS Crypto, който ви позволява удобно да управлявате параметрите на криптографските протоколи в Windows Server 2003, 2008 и 2012. С помощта на тази помощна програма можете да активирате или деактивирате всеки от протоколите за криптиране само с две кликвания.

Програмата вече има няколко шаблона, които ви позволяват бързо да приложите предварително зададени настройки за различни настройки за сигурност.

Протоколът TLS криптира интернет трафик от всякакъв вид, като по този начин прави комуникацията и онлайн продажбите сигурни. Ще говорим за това как работи протоколът и какво ни очаква в бъдеще.

От статията ще научите:

Какво е SSL

SSL или Secure Sockets Layer беше оригиналното име на протокола, който Netscape разработи в средата на 90-те години. SSL 1.0 никога не е бил публично достъпен, а версия 2.0 имаше сериозни недостатъци. SSL 3.0, пуснат през 1996 г., беше цялостен ремонт и даде тона за следващата фаза на развитие.

Какво е TLS

Когато следващата версия на протокола беше пусната през 1999 г., Internet Engineering Task Force го стандартизира и му даде ново име: Transport Layer Security или TLS. Както се посочва в документацията на TLS, „разликата между този протокол и SSL 3.0 не е критична“. TLS и SSL образуват постоянна поредица от протоколи и често се комбинират под името SSL/TLS.

Протоколът TLS криптира интернет трафик от всякакъв вид. Най-често срещаният тип е уеб трафик. Знаете кога вашият браузър установява TLS връзка - ако връзката в адресната лента започва с "https".

TLS се използва и от други приложения, като системи за поща и телеконференции.

Как работи TLS

Шифроването е необходимо за сигурна комуникация онлайн. Ако вашите данни не са криптирани, всеки може да ги анализира и да прочете поверителна информация.

Най-сигурният метод за криптиране е асиметрично криптиране. Това изисква 2 ключа, 1 публичен и 1 частен. Това са файлове с информация, най-често много големи числа. Механизмът е сложен, но просто казано, можете да използвате публичен ключ, за да шифровате данни, но имате нужда от частен ключ, за да ги дешифрирате. Двата ключа са свързани с помощта на сложна математическа формула, която е трудна за хакване.

Можете да мислите за публичен ключ като информация за местоположението на частен ключ. пощенска кутияс дупка и частен ключ като ключ, който отваря кутията. Всеки, който знае къде е кутията, може да пусне писмо там. Но за да го прочете, човек се нуждае от ключ, за да отвори кутията.

Тъй като асиметричното криптиране използва сложни математически изчисления, то изисква много изчислителни ресурси. TLS решава този проблем, като използва асиметрично криптиране само в началото на сесия за криптиране на комуникациите между сървъра и клиента. Сървърът и клиентът трябва да се споразумеят за един сесиен ключ, който двамата ще използват за криптиране на пакети с данни.

Извиква се процесът, чрез който клиентът и сървърът се договарят за сесиен ключ ръкостискане. Това е моментът, в който 2 комуникиращи компютъра се представят един на друг.

TLS процес на ръкостискане

Процесът на TLS ръкостискане е доста сложен. Стъпките по-долу очертават процеса като цяло, за да можете да разберете как работи като цяло.

  1. Клиентът се свързва със сървъра и иска защитена връзка. Сървърът отговаря със списък от шифри - алгоритмичен набор за създаване на криптирани връзки - които той знае как да използва. Клиентът сравнява списъка със своя списък с поддържани шифри, избира подходящия и уведомява сървъра кой от тях двамата ще използват.
  2. Сървърът предоставя своя цифров сертификат - електронен документ, подписан от трета страна, който удостоверява автентичността на сървъра. Повечето важна информацияв сертификата е публичният ключ към шифъра. Клиентът потвърждава автентичността на сертификата.
  3. Използвайки публичния ключ на сървъра, клиентът и сървърът установяват сесиен ключ, който и двамата ще използват по време на сесията за криптиране на комуникациите. Има няколко метода за това. Клиентът може да използва публичния ключ за шифроване на произволен номер, който след това се изпраща на сървъра за декриптиране и двете страни след това използват този номер, за да установят ключа на сесията.

Сесиен ключ е валиден само за една непрекъсната сесия. Ако по някаква причина комуникацията между клиента и сървъра бъде прекъсната, ще е необходимо ново ръкостискане, за да се установи нов сесиен ключ.

Уязвимости на протоколите TLS 1.2 и TLS 1.2

TLS 1.2 е най-често срещаната версия на протокола. Тази версия инсталира оригиналната платформа за опции за криптиране на сесията. Въпреки това, подобно на някои предишни версии на протокола, този протокол позволява използването на по-стари техники за криптиране за поддръжка на по-стари компютри. За съжаление, това доведе до уязвимости във версия 1.2, тъй като тези по-стари механизми за криптиране станаха по-уязвими.

Например, TLS 1.2 стана особено уязвим за атаки за подправяне, при които нападател прихваща пакети с данни по време на сесия и ги изпраща, след като ги прочете или модифицира. Много от тези проблеми се появиха през последните 2 години, което налага спешното създаване на актуализирана версия на протокола.

TLS 1.3

Версия 1.3 на протокола TLS, която скоро ще бъде финализирана, решава много от проблемите с уязвимостите, като изоставя поддръжката на наследени системи за криптиране.
IN нова версияе съвместим с предишни версии: Например връзката ще се върне към TLS версия 1.2, ако една от страните не може да използва по-нова система за криптиране в списъка с разрешени алгоритми на протокола версия 1.3. Въпреки това, при атака за подправяне на връзка, ако хакер насилствено се опита да понижи версията на протокола до 1.2 по средата на сесия, това действие ще бъде забелязано и връзката ще бъде прекратена.

Как да активирате поддръжката на TLS 1.3 в браузърите Google Chrome и Firefox

Firefox и Chrome поддържат TLS 1.3, но тази версия не е активирана по подразбиране. Причината е, че в момента съществува само в чернова.

Mozilla Firefox

Въведете about:config в адресната лента на вашия браузър. Потвърдете, че разбирате рисковете.

  1. Ще се отвори редакторът на настройките на Firefox.
  2. Въведете security.tls.version.max в търсенето
  3. Променете стойността на 4, като щракнете двукратно върху текущата стойност.



Google Chrome

  1. Въведете chrome://flags/ в адресната лента на вашия браузър, за да отворите панела за експерименти.
  2. Намерете опция #tls13-variant
  3. Кликнете върху менюто и го задайте на Enabled (Draft).
  4. Рестартирайте браузъра си.

Как да проверите дали вашият браузър използва версия 1.2

Напомняме ви, че версия 1.3 все още не е в обществена употреба. Ако не искате
използвайте черновата, можете да останете на версия 1.2.

За да проверите дали вашият браузър използва версия 1.2, следвайте същите стъпки като в инструкциите по-горе и се уверете, че:

  • За Firefox стойността на security.tls.version.max е 3. Ако е по-ниска, променете я на 3, като щракнете двукратно върху текущата стойност.
  • За Google Chrome: Кликнете върху менюто на браузъра - изберете Настройки- изберете Показване на разширени настройки- слезте до секцията Системаи щракнете върху Отворете настройките на прокси сървъра...:

  • В прозореца, който се отваря, щракнете върху раздела Сигурност и се уверете, че полето Използване на TLS 1.2 е отметнато. Ако не, проверете го и щракнете върху OK:


Промените ще влязат в сила, след като рестартирате компютъра си.

Бърз инструмент за проверка на версията на SSL/TLS протокола на вашия браузър

Отидете до инструмента за онлайн проверка на версията на протокола SSL Labs. Страницата ще показва в реално време използваната версия на протокола и дали браузърът е податлив на някакви уязвимости.

Източници: превод

TLS е наследник на SSL, протокол, който осигурява надеждна и сигурна връзка между възлите в Интернет. Използва се при разработването на различни клиенти, включително браузъри и приложения клиент-сървър. Какво е TLS в Internet Explorer?

Малко за технологията

Всички предприятия и организации, които се занимават с финансови транзакции, използват този протокол, за да предотвратят подслушване на пакети и неоторизиран достъп от нарушители. Тази технология е предназначена да защитава важни връзки от атаки на нарушители.

По принцип техните организации използват вграден браузър. В някои случаи - Mozilla Firefox.

Активиране или деактивиране на протокол

Понякога е невъзможен достъп до някои сайтове, тъй като поддръжката на SSL и TLS технологиите е деактивирана. В браузъра се появява известие. И така, как можете да активирате протоколи, за да продължите да се наслаждавате на защитени комуникации?
1. Отворете контролния панел чрез Старт. Друг начин: отворете Explorer и щракнете върху иконата на зъбно колело в горния десен ъгъл.

2.Отидете в секцията „Опции на браузъра“ и отворете блока „Разширени“.

3. Поставете отметка в квадратчетата до „Използване на TLS 1.1 и TLS 1.2“.

4. Щракнете върху OK, за да запазите промените си. Ако искате да деактивирате протоколите, което силно не се препоръчва, особено ако използвате онлайн банкиране, премахнете отметките от същите елементи.

Каква е разликата между 1.0 и 1.1 и 1.2? 1.1 е само леко подобрена версия на TLS 1.0, която частично наследи своите недостатъци. 1.2 е най-сигурната версия на протокола. От друга страна, не всички сайтове могат да се отварят с активирана тази версия на протокола.

Както знаете, месинджърът на Skype е директно свързан с Internet Explorer като компонент на Windows. Ако не сте маркирали TLS протокола в настройките, може да възникнат проблеми със Skype. Програмата просто няма да може да се свърже със сървъра.

Ако поддръжката на TLS е деактивирана в настройките на Internet Explorer, всички свързани с мрежата функции на програмата няма да работят. Освен това безопасността на вашите данни зависи от тази технология. Не го пренебрегвайте, ако извършвате финансови транзакции в този браузър (покупки в онлайн магазини, превод на пари чрез онлайн банкиране или електронен портфейл и др.).

проблем

При опит за влизане Лична зонаПоявява се съобщение за грешка „Електронен бюджет“ на GIIS:

Тази страница не може да бъде показана

Активирайте протоколите TLS 1.0, TLS 1.1 и TLS 1.2 в секцията „Разширени настройки“ и опитайте отново да се свържете с уеб страницата https://ssl.budgetplan.minfin.ru. Ако не можете да разрешите грешката, свържете се с администратора на уебсайта си.

Решение

Необходимо е да проверите настройките на работното място според документа.

Инструкциите не споменават няколко нюанса:

  1. Трябва да инсталирате CryptoPro EDS Browser плъгини проверете работата му на демонстрационната страница.
  2. Необходимо е да деактивирате филтрирането на SSL/TLS протокола в настройките на антивирусната програма, с други думи, за сайта, който търсите, трябва да направите изключение за проверка на защитена връзка. IN различни антивирусиможе да се нарече по различен начин. Например в Касперски безплатнотрябва да тръгвам „Настройки>Разширени>Мрежа>Не проверявай защитените връзки“ .

Публикации по темата