Kuinka ottaa tls 1.2 -protokolla käyttöön. TLS-protokolla Internet Explorerissa

Raskauden merkit alkion istutuksen jälkeen

Jos kohtaat ongelman, jossa pääsy tietylle sivustolle epäonnistuu ja selaimeesi tulee viesti, tälle on järkevä selitys. Ongelman syyt ja ratkaisut esitetään tässä artikkelissa.

SSL TLS -protokolla

Budjettiorganisaatioiden käyttäjät, ei vain budjettiorganisaatiot, joiden toiminta liittyy suoraan rahoitukseen, vuorovaikutuksessa rahoituslaitokset Esimerkiksi valtiovarainministeriö, valtiovarainministeriö jne. käyttävät kaikki toimintansa yksinomaan suojattua SSL-protokollaa käyttäen. Periaatteessa he käyttävät työssään Internet-selain Tutkimusmatkailija. Joissakin tapauksissa - Mozilla Firefox.

SSL-virhe

Päähuomio näitä toimintoja suoritettaessa ja työssä yleensäkin kiinnitetään turvajärjestelmään: sertifikaatteihin, sähköiset allekirjoitukset. Työssä käytetty ohjelmisto CryptoPro nykyinen versio. Mitä tulee ongelmia SSL- ja TLS-protokollien kanssa, Jos SSL-virhe ilmestyi, tälle protokollalle ei todennäköisesti ole tukea.

TLS-virhe

TLS-virhe Monissa tapauksissa se voi myös olla merkki protokollatuen puutteesta. Mutta... katsotaan mitä tässä tapauksessa voidaan tehdä.

SSL- ja TLS-protokollan tuki

Joten kun Microsoftin avulla Internet Explorer Jos haluat vierailla SSL-suojatulla verkkosivustolla, otsikkopalkki tulee näkyviin Varmista, että ssl- ja tls-protokollat ​​ovat käytössä. Ensinnäkin sinun on otettava TLS 1.0 -protokollan tuki käyttöön Internet Explorerissa.

Jos vierailet verkkosivustolla, jossa on Internet Information Services 4.0 tai uudempi, Internet Explorerin määrittäminen tukemaan TLS 1.0:aa auttaa suojaamaan yhteyttäsi. Tietenkin edellyttäen, että etäverkkopalvelin, jota yrität käyttää, tukee tätä protokollaa.

Voit tehdä tämän valikossa Palvelu valitse joukkue Internet-asetukset.

Välilehdellä Lisäksi Luvussa Turvallisuus, varmista, että seuraavat valintaruudut on valittu:

  • Käytä SSL 2.0:aa
  • Käytä SSL 3.0:aa
  • Käytä SSL 1.0:aa

Napsauta painiketta Käytä , ja sitten OK . Käynnistä selain uudelleen .

Kun olet ottanut TLS 1.0:n käyttöön, yritä vierailla verkkosivustolla uudelleen.

Järjestelmän suojauskäytäntö

Jos niitä vielä esiintyy virheitä SSL:n ja TLS:n kanssa Jos et edelleenkään voi käyttää SSL:ää, etäverkkopalvelin ei todennäköisesti tue TLS 1.0:aa. Tässä tapauksessa sinun on poistettava käytöstä järjestelmäkäytäntö, joka vaatii FIPS-yhteensopivia algoritmeja.

Voit tehdä tämän sisään Ohjauspaneelit valitse Hallinto ja kaksoisnapsauta sitten Paikallinen suojauskäytäntö.

Laajenna Paikalliset suojausasetukset -kohdassa Paikallinen politiikka ja napsauta sitten painiketta Turvallisuusasetukset.

Kaksoisnapsauta ikkunan oikealla puolella olevan käytännön mukaan Järjestelmän salaus: käytä FIPS-yhteensopivia algoritmeja salaukseen, tiivistykseen ja allekirjoittamiseen ja napsauta sitten painiketta Liikuntarajoitteinen.

Huomio!

Muutos astuu voimaan uudelleenhakemuksen jälkeen paikallispolitiikkaa turvallisuus. Kytke se päälle ja käynnistä selain uudelleen.

CryptoPro TLS SSL

Päivitä CryptoPro

Yksi vaihtoehdoista ongelman ratkaisemiseksi on päivittää CryptoPro sekä määrittää resurssi. Tässä tapauksessa tämä toimii sähköisten maksujen kanssa. Siirry varmenteen myöntäjälle. Valitse resurssiksi sähköiset markkinapaikat.

Käynnistyksen jälkeen automaattiset asetukset työpaikalla on vain odota toimenpiteen valmistumista, sitten lataa selain uudelleen. Jos sinun on syötettävä tai valittava resurssiosoite, valitse tarvitsemasi osoite. Saatat myös joutua käynnistämään tietokoneesi uudelleen, kun asennus on valmis.

Lokakuussa Googlen insinöörit julkaisivat tietoja aiheesta kriittinen haavoittuvuus V SSL-versio 3.0, joka sai hauskan nimen VILLAKOIRA(Padding Oracle On Downgraded Legacy Encryption tai villakoira 🙂). Haavoittuvuus antaa hyökkääjälle mahdollisuuden päästä käsiksi SSLv3-protokollalla salattuihin tietoihin käyttämällä "man in" -hyökkäystä Keski" Sekä palvelimet että asiakkaat, jotka voivat muodostaa yhteyden SSLv3-protokollan avulla, ovat haavoittuvia.

Yleisesti ottaen tilanne ei ole yllättävä, koska... protokollaa SSL 3.0, joka esiteltiin ensimmäisen kerran vuonna 1996, on jo 18-vuotias ja on jo moraalisesti vanhentunut. Useimmissa käytännön tehtävissä se on jo korvattu salausprotokollalla TLS(versiot 1.0, 1.1 ja 1.2).

Suojataksesi POODLE-haavoittuvuutta vastaan, on suositeltavaa tehdä se kokonaan poista SSLv3-tuki käytöstä sekä asiakas- että palvelinpuolella ja tästä lähtien käytä vain TLS:ää. Vanhojen ohjelmistojen käyttäjät (kuten Windows XP:n IIS 6:ta käyttävät) tämä tarkoittaa, että he eivät voi enää tarkastella HTTPS-sivuja tai käyttää muita SSL-palveluita. Jos SSLv3-tukea ei ole kokonaan poistettu käytöstä ja vahvempaa salausta tarjotaan oletuksena, POODLE-haavoittuvuus on edelleen olemassa. Tämä johtuu asiakkaan ja palvelimen välisen salausprotokollan valinnan ja sopimisen erityispiirteistä, koska Jos TLS:n käytössä havaitaan ongelmia, tapahtuu automaattinen siirtyminen SSL:ään.

Suosittelemme, että tarkistat kaikki palvelusi, jotka voivat käyttää SSL/TLS:ää missä tahansa muodossa, ja poistat SSLv3-tuen käytöstä. Voit tarkistaa verkkopalvelimesi haavoittuvuuksien varalta käyttämällä online-testiä, esimerkiksi täältä: http://poodlebleed.com/.

Huomautus. On ymmärrettävä selvästi, että SSL v3:n poistaminen käytöstä koko järjestelmän tasolla toimii vain ohjelmistoissa, jotka käyttävät järjestelmäsovellusliittymiä SSL-salaukseen (Internet Explorer, IIS, SQL NLA, RRAS jne.). Ohjelmat, jotka käyttävät omia salaustyökalujaan (Firefox, Opera, jne.), on päivitettävä ja määritettävä erikseen.

SSLv3:n poistaminen käytöstä Windowsissa järjestelmätasolla

Käyttöjärjestelmässä Windowsin ohjaus SSL/TLS-protokollien tuki tarjotaan rekisterin kautta.

Tässä esimerkissä näytämme, kuinka SSLv3 poistetaan kokonaan käytöstä järjestelmätasolla (sekä asiakas- että palvelintasolla) Windows Server 2012 R2:

Poista SSLv2 käytöstä (Windows 2008 / Server ja vanhemmat)

Windows 7 / Windows Server 2008 R2:ta vanhemmat käyttöjärjestelmät käyttävät oletuksena vielä vähemmän turvallista ja vanhentunutta protokollaa SSL v2, joka pitäisi myös poistaa käytöstä turvallisuussyistä (uudempi Windows-versiot, SSLv2 asiakastasolla on oletuksena pois käytöstä ja vain SSLv3 ja TLS1.0 ovat käytössä). Jos haluat poistaa SSLv2:n käytöstä, sinun on toistettava edellä kuvattu toimenpide vain rekisteriavaimelle SSL 2.0.

Windows 2008/2012:ssa SSLv2 on oletuksena poistettu käytöstä asiakastasolla.

Ota TLS 1.1 ja TLS 1.2 käyttöön Windows Server 2008 R2:ssa ja uudemmissa

Windows Server 2008 R2 / Windows 7 ja uudemmat versiot tukevat TLS 1.1- ja TLS 1.2 -salausalgoritmeja, mutta nämä protokollat ​​on oletuksena poistettu käytöstä. Voit ottaa käyttöön TLS 1.1:n ja TLS 1.2:n tuen näissä Windows-versioissa samanlaisella skenaariolla


Apuohjelma järjestelmän salausprotokollien hallintaan Windows Serverissä

Olemassa ilmainen apuohjelma IIS Crypto, jonka avulla voit hallita kätevästi salausprotokollien parametreja Windows Server 2003:ssa, 2008:ssa ja 2012:ssa. Tämän apuohjelman avulla voit ottaa käyttöön tai poistaa käytöstä minkä tahansa salausprotokollan kahdella napsautuksella.

Ohjelmassa on jo useita malleja, joiden avulla voit nopeasti soveltaa esiasetuksia eri suojausasetuksiin.

TLS-protokolla salaa kaiken tyyppisen Internet-liikenteen, mikä tekee viestinnän ja myynnin verkossa turvalliseksi. Puhumme siitä, miten protokolla toimii ja mitä meitä odottaa tulevaisuudessa.

Artikkelista opit:

Mikä on SSL

SSL tai Secure Sockets Layer oli Netscapen 90-luvun puolivälissä kehittämän protokollan alkuperäinen nimi. SSL 1.0 ei koskaan ollut julkisesti saatavilla, ja versiossa 2.0 oli vakavia puutteita. Vuonna 1996 julkaistu SSL 3.0 oli täydellinen uudistus ja loi sävyn seuraavalle kehitysvaiheelle.

Mikä on TLS

Kun protokollan seuraava versio julkaistiin vuonna 1999, Internet Engineering Task Force standardoi sen ja antoi sille uuden nimen: Transport Layer Security tai TLS. Kuten TLS-dokumentaatiossa todetaan, "ero tämän protokollan ja SSL 3.0:n välillä ei ole kriittinen." TLS ja SSL muodostavat jatkuvan protokollien sarjan, ja ne yhdistetään usein nimellä SSL/TLS.

TLS-protokolla salaa kaikenlaisen Internet-liikenteen. Yleisin tyyppi on verkkoliikenne. Tiedät, milloin selaimesi muodostaa TLS-yhteyden – jos osoitepalkin linkki alkaa "https".

TLS:ää käyttävät myös muut sovellukset, kuten sähköposti- ja puhelinkonferenssijärjestelmät.

Kuinka TLS toimii

Salaus on tarpeen turvalliseen verkkoviestintään. Jos tietojasi ei ole salattu, kuka tahansa voi analysoida niitä ja lukea arkaluontoisia tietoja.

Turvallisin salausmenetelmä on epäsymmetrinen salaus. Tämä vaatii 2 avainta, 1 julkisen ja 1 yksityisen. Nämä ovat tiedostoja, joissa on tietoa, useimmiten hyvin suuria lukuja. Mekanismi on monimutkainen, mutta yksinkertaisesti sanottuna voit käyttää julkista avainta tietojen salaamiseen, mutta tarvitset yksityisen avaimen salauksen purkamiseen. Nämä kaksi avainta on yhdistetty monimutkaisen matemaattisen kaavan avulla, jota on vaikea hakkeroida.

Voit ajatella julkista avainta tietona yksityisen avaimen sijainnista. postilaatikko jossa on reikä ja yksityinen avain avaimena, joka avaa laatikon. Jokainen, joka tietää missä laatikko on, voi laittaa kirjeen sinne. Mutta lukeakseen sen, ihminen tarvitsee avaimen laatikon avaamiseen.

Koska epäsymmetrinen salaus käyttää monimutkaisia ​​matemaattisia laskelmia, se vaatii paljon laskentaresursseja. TLS ratkaisee tämän ongelman käyttämällä epäsymmetristä salausta vain istunnon alussa palvelimen ja asiakkaan välisen viestinnän salaamiseen. Palvelimen ja asiakkaan tulee sopia yhdestä istuntoavaimesta, jota molemmat käyttävät datapakettien salaamiseen.

Kutsutaan prosessi, jossa asiakas ja palvelin sopivat istuntoavaimesta kädenpuristus. Tämä on hetki, jolloin 2 kommunikoivaa tietokonetta esittelevät itsensä toisilleen.

TLS-kättelyprosessi

TLS-kättelyprosessi on melko monimutkainen. Alla olevat vaiheet kuvaavat prosessia yleisesti, jotta voit ymmärtää, miten se toimii yleisesti.

  1. Asiakas ottaa yhteyttä palvelimeen ja pyytää suojattua yhteyttä. Palvelin vastaa salausluettelolla – algoritmisarjalla salattujen yhteyksien luomiseksi – joita se osaa käyttää. Asiakas vertaa luetteloa tuettujen salausten luetteloon, valitsee sopivan ja ilmoittaa palvelimelle, kumpaa he käyttävät.
  2. Palvelin tarjoaa digitaalisen sertifikaattinsa - sähköinen asiakirja, kolmannen osapuolen allekirjoittama, joka varmistaa palvelimen aitouden. Eniten tärkeää tietoa sertifikaatissa on salauksen julkinen avain. Asiakas vahvistaa varmenteen aitouden.
  3. Käyttämällä palvelimen julkista avainta asiakas ja palvelin muodostavat istuntoavaimen, jota molemmat käyttävät koko istunnon ajan viestinnän salaamiseen. Tätä varten on useita menetelmiä. Asiakas voi käyttää julkista avainta salaamaan mielivaltaisen numeron, joka lähetetään sitten palvelimelle salauksen purkamiseksi, ja molemmat osapuolet käyttävät tätä numeroa istuntoavaimen muodostamiseen.

Istuntoavain on voimassa vain yhden jatkuvan istunnon ajan. Jos viestintä asiakkaan ja palvelimen välillä jostain syystä katkeaa, tarvitaan uusi kättely uuden istuntoavaimen luomiseksi.

TLS 1.2- ja TLS 1.2 -protokollien haavoittuvuudet

TLS 1.2 on protokollan yleisin versio. Tämä versio asensi istunnon salausvaihtoehtojen alkuperäisen alustan. Kuitenkin, kuten jotkin protokollan aiemmat versiot, tämä protokolla salli vanhempien salaustekniikoiden käytön vanhempien tietokoneiden tukemiseksi. Valitettavasti tämä johti haavoittuvuuksiin versiossa 1.2, koska nämä vanhemmat salausmekanismit tulivat haavoittuvaisemmiksi.

Esimerkiksi TLS 1.2:sta on tullut erityisen haavoittuva peukalointihyökkäyksille, joissa hyökkääjä sieppaa datapaketteja kesken istunnon ja lähettää ne lukemisen tai muokkauksen jälkeen. Monet näistä ongelmista ovat ilmaantuneet viimeisten 2 vuoden aikana, minkä vuoksi protokollan päivitetty versio on luotava kiireellisesti.

TLS 1.3

TLS-protokollan versio 1.3, joka valmistuu pian, ratkaisee monet haavoittuvuuksiin liittyvistä ongelmista luopumalla tuesta vanhoille salausjärjestelmille.
SISÄÄN uusi versio on yhteensopiva aiemmat versiot: Yhteys palautuu esimerkiksi TLS-versioon 1.2, jos toinen osapuolista ei voi käyttää uudempaa salausjärjestelmää protokollan version 1.3 sallittujen algoritmien luettelossa. Kuitenkin, jos hakkeri yrittää väkisin alentaa protokollaversiota 1.2:een kesken istunnon hyökkäyksen yhteydessä, tämä toimenpide havaitaan ja yhteys katkeaa.

Kuinka ottaa TLS 1.3 -tuki käyttöön Google Chrome- ja Firefox-selaimissa

Firefox ja Chrome tukevat TLS 1.3:a, mutta tämä versio ei ole oletuksena käytössä. Syynä on, että se on tällä hetkellä olemassa vain luonnosmuodossa.

Mozilla Firefox

Kirjoita selaimen osoiteriville about:config. Varmista, että ymmärrät riskit.

  1. Firefoxin asetuseditori avautuu.
  2. Kirjoita hakuun security.tls.version.max
  3. Muuta arvoksi 4 kaksoisnapsauttamalla nykyistä arvoa.



Google Chrome

  1. Avaa kokeilupaneeli kirjoittamalla chrome://flags/ selaimen osoitepalkkiin.
  2. Etsi vaihtoehto #tls13-variant
  3. Napsauta valikkoa ja aseta se tilaan Enabled (Draft).
  4. Käynnistä selain uudelleen.

Kuinka tarkistaa, että selaimessasi on versio 1.2

Muistutamme, että versio 1.3 ei ole vielä julkisessa käytössä. Jos et halua
käytä luonnosta, voit pysyä versiossa 1.2.

Tarkistaaksesi, että selaimessasi on versio 1.2, noudata samoja vaiheita kuin yllä olevissa ohjeissa ja varmista, että:

  • Firefoxissa security.tls.version.max-arvo on 3. Jos se on pienempi, muuta se arvoon 3 kaksoisnapsauttamalla nykyistä arvoa.
  • varten Google Chrome: Napsauta selaimen valikkoa - valitse asetukset- valitse näytä lisäasetukset- mene alas osastolle Järjestelmä ja klikkaa Avaa välityspalvelimen asetukset…:

  • Napsauta avautuvassa ikkunassa Suojaus-välilehteä ja varmista, että Käytä TLS 1.2 -kenttä on valittuna. Jos ei, tarkista se ja napsauta OK:


Muutokset tulevat voimaan, kun käynnistät tietokoneen uudelleen.

Nopea työkalu selaimesi SSL/TLS-protokollaversion tarkistamiseen

Siirry SSL Labsin verkkoprotokollaversion tarkistustyökaluun. Sivu näyttää reaaliajassa käytetyn protokollan version ja sen, onko selain herkkä haavoittuvuuksille.

Lähteet: käännös

TLS on SSL:n seuraaja, protokolla, joka tarjoaa luotettavan ja suojatun yhteyden Internetin solmujen välille. Sitä käytetään erilaisten asiakkaiden kehittämiseen, mukaan lukien selaimet ja asiakaspalvelinsovellukset. Mikä on TLS Internet Explorerissa?

Hieman tekniikasta

Kaikki rahoitustapahtumiin osallistuvat yritykset ja organisaatiot käyttävät tätä protokollaa estääkseen pakettien salakuuntelun ja tunkeilijoiden luvattoman pääsyn. Tämä tekniikka on suunniteltu suojaamaan tärkeitä yhteyksiä tunkeilijoiden hyökkäyksiltä.

Periaatteessa heidän organisaationsa käyttävät sisäänrakennettua selainta. Joissakin tapauksissa - Mozilla Firefox.

Protokollan ottaminen käyttöön tai poistaminen käytöstä

Joskus on mahdotonta päästä joihinkin sivustoihin, koska SSL- ja TLS-tekniikoiden tuki on poistettu käytöstä. Selaimeen tulee ilmoitus. Joten miten voit ottaa protokollat ​​käyttöön, jotta voit jatkaa turvallisen viestinnän nauttimista?
1.Avaa Ohjauspaneeli Käynnistä-valikosta. Toinen tapa: avaa Explorer ja napsauta rataskuvaketta oikeassa yläkulmassa.

2.Siirry "Selainasetukset"-osioon ja avaa "Lisäasetukset"-lohko.

3.Valitse valintaruudut kohdan "Käytä TLS 1.1 ja TLS 1.2" vieressä.

4. Tallenna muutokset napsauttamalla OK. Jos haluat poistaa protokollat ​​käytöstä, mikä ei ole erittäin suositeltavaa, varsinkin jos käytät verkkopankkia, poista samojen kohteiden valinta.

Mitä eroa on 1.0 ja 1.1 ja 1.2 välillä? 1.1 on vain hieman paranneltu versio TLS 1.0:sta, joka on osittain perinyt puutteensa. 1.2 on protokollan turvallisin versio. Toisaalta kaikki sivustot eivät voi avautua, kun tämä protokollaversio on käytössä.

Kuten tiedät, Skype Messenger on suoraan yhteydessä Internet Exploreriin Windows-komponenttina. Jos TLS-protokollaa ei ole valittuna asetuksissa, Skypen kanssa voi ilmetä ongelmia. Ohjelma ei yksinkertaisesti pysty muodostamaan yhteyttä palvelimeen.

Jos TLS-tuki on poistettu käytöstä Internet Explorerin asetuksista, kaikki ohjelman verkkoon liittyvät toiminnot eivät toimi. Lisäksi tietojesi turvallisuus riippuu tästä tekniikasta. Älä unohda sitä, jos suoritat rahoitustapahtumia tällä selaimella (ostokset verkkokaupoista, rahansiirto verkkopankin tai e-lompakon kautta jne.).

Ongelma

Kun yrität kirjautua sisään Henkilökohtainen alue GIIS "Electronic Budget" -virheilmoitus tulee näkyviin:

Tätä sivua ei voi näyttää

Ota TLS 1.0-, TLS 1.1- ja TLS 1.2-protokollat ​​käyttöön Lisäasetukset-osiossa ja yritä muodostaa yhteys uudelleen verkkosivulle https://ssl.budgetplan.minfin.ru. Jos et pysty ratkaisemaan virhettä, ota yhteyttä verkkosivustosi järjestelmänvalvojaan.

Ratkaisu

Työpaikan asetukset on tarkistettava asiakirjan mukaisesti.

Ohjeissa ei mainita useita vivahteita:

  1. Sinun on asennettava CryptoPro EDS -selainlaajennus ja tarkista sen toiminta esittelysivulta.
  2. SSL/TLS-protokollan suodatus on poistettava käytöstä virustentorjuntaasetuksista, eli etsimällesi sivustolle kannattaa tehdä poikkeus suojatun yhteyden tarkistamiseksi. SISÄÄN erilaisia ​​virustorjuntaohjelmia voidaan kutsua eri tavalla. Esimerkiksi sisään Kaspersky ilmainen pitää mennä "Asetukset> Lisäasetukset> Verkko> Älä tarkista suojattuja yhteyksiä" .

Aiheeseen liittyviä julkaisuja