Melindungi Windows dari kerentanan SSL v3. Gagal masuk

Protokol TLS mengenkripsi semua jenis lalu lintas Internet, sehingga membuat komunikasi dan penjualan online menjadi aman. Kami akan berbicara tentang cara kerja protokol dan apa yang menanti kami di masa depan.

Dari artikel tersebut Anda akan belajar:

Apa itu SSL

SSL atau Secure Sockets Layer adalah nama asli protokol yang dikembangkan Netscape pada pertengahan tahun 90an. SSL 1.0 tidak pernah tersedia untuk umum, dan versi 2.0 memiliki kelemahan yang serius. SSL 3.0, dirilis pada tahun 1996, merupakan perombakan total dan menentukan langkah untuk tahap pengembangan berikutnya.

Apa itu TLS

Ketika versi protokol berikutnya dirilis pada tahun 1999, Satuan Tugas Rekayasa Internet menstandarkannya dan memberinya nama baru: Keamanan Lapisan Transportasi, atau TLS. Sebagaimana dinyatakan dalam dokumentasi TLS, “perbedaan antara protokol ini dan SSL 3.0 tidaklah penting.” TLS dan SSL membentuk serangkaian protokol yang berkelanjutan dan sering kali digabungkan dengan nama SSL/TLS.

Protokol TLS mengenkripsi lalu lintas Internet apa pun. Jenis yang paling umum adalah lalu lintas web. Anda tahu kapan browser Anda membuat koneksi TLS - jika tautan di bilah alamat dimulai dengan "https".

TLS juga digunakan oleh aplikasi lain, seperti sistem email dan telekonferensi.

Bagaimana TLS bekerja

Enkripsi diperlukan untuk berkomunikasi secara online dengan aman. Jika data Anda tidak dienkripsi, siapa pun dapat menganalisisnya dan membaca informasi sensitif.

Metode enkripsi yang paling aman adalah enkripsi asimetris. Ini memerlukan 2 kunci, 1 publik dan 1 pribadi. Ini adalah file dengan informasi, paling sering sangat angka besar. Mekanismenya rumit, tetapi sederhananya, Anda dapat menggunakan kunci publik untuk mengenkripsi data, namun Anda memerlukan kunci pribadi untuk mendekripsinya. Kedua kunci tersebut dihubungkan menggunakan rumus matematika rumit yang sulit diretas.

Anda dapat menganggap kunci publik sebagai informasi tentang lokasi kunci pribadi. kotak surat dengan lubang, dan kunci pribadi sebagai kunci untuk membuka kotak tersebut. Siapa pun yang mengetahui di mana kotak itu berada dapat menaruh surat di sana. Namun untuk membacanya, seseorang membutuhkan kunci untuk membuka kotak tersebut.

Karena enkripsi asimetris menggunakan perhitungan matematis yang kompleks, maka memerlukan banyak sumber daya komputasi. TLS memecahkan masalah ini dengan menggunakan enkripsi asimetris hanya pada awal sesi untuk mengenkripsi komunikasi antara server dan klien. Server dan klien harus menyepakati satu kunci sesi, yang akan digunakan keduanya untuk mengenkripsi paket data.

Proses dimana klien dan server menyepakati kunci sesi disebut jabat tangan. Ini adalah momen ketika 2 komputer yang berkomunikasi saling memperkenalkan diri.

Proses jabat tangan TLS

Proses jabat tangan TLS cukup rumit. Langkah-langkah di bawah ini menguraikan proses secara umum sehingga Anda dapat memahami cara kerjanya secara umum.

1. Klien menghubungi server dan meminta koneksi aman. Server merespons dengan daftar sandi—rangkaian algoritmik untuk membuat koneksi terenkripsi—yang diketahui cara menggunakannya. Klien membandingkan daftar tersebut dengan daftar sandi yang didukung, memilih sandi yang sesuai, dan memberi tahu server mana yang akan digunakan oleh keduanya.
2. Server menyediakan sertifikat digitalnya - dokumen elektronik, ditandatangani oleh pihak ketiga, yang memverifikasi keaslian server. Yang paling informasi penting dalam sertifikat adalah kunci publik untuk sandi. Klien mengkonfirmasi keaslian sertifikat.
3. Dengan menggunakan kunci publik server, klien dan server membuat kunci sesi yang akan mereka gunakan sepanjang sesi untuk mengenkripsi komunikasi. Ada beberapa metode untuk ini. Klien dapat menggunakan kunci publik untuk mengenkripsi nomor sembarang, yang kemudian dikirim ke server untuk didekripsi, dan kedua belah pihak kemudian menggunakan nomor tersebut untuk membuat kunci sesi.

Kunci sesi hanya berlaku untuk satu sesi berkelanjutan. Jika karena alasan tertentu komunikasi antara klien dan server terputus, jabat tangan baru akan diperlukan untuk membuat kunci sesi baru.

Kerentanan protokol TLS 1.2 dan TLS 1.2

TLS 1.2 adalah versi protokol yang paling umum. Versi ini menginstal platform asli opsi enkripsi sesi. Namun, seperti beberapa versi protokol sebelumnya, protokol ini mengizinkan penggunaan teknik enkripsi lama untuk mendukung komputer lama. Sayangnya, hal ini menyebabkan kerentanan pada versi 1.2, karena mekanisme enkripsi lama ini menjadi lebih rentan.

Misalnya, TLS 1.2 menjadi sangat rentan terhadap serangan gangguan, di mana penyerang mencegat paket data di tengah sesi dan mengirimkannya setelah membaca atau memodifikasinya. Banyak dari masalah ini yang muncul selama 2 tahun terakhir, sehingga membuat versi protokol yang diperbarui menjadi mendesak.

TLS 1.3

Protokol TLS versi 1.3, yang akan segera diselesaikan, memecahkan banyak masalah kerentanan dengan mengabaikan dukungan untuk sistem enkripsi lama.
DI DALAM versi baru kompatibel dengan versi sebelumnya: Misalnya, koneksi akan kembali ke TLS 1.2 jika salah satu pihak gagal menggunakan sistem enkripsi yang lebih baru dalam daftar algoritma yang diizinkan di protokol 1.3. Namun, dalam serangan gangguan koneksi, jika peretas secara paksa mencoba menurunkan versi protokol ke 1.2 di tengah sesi, tindakan ini akan diketahui dan koneksi akan dihentikan.

Cara mengaktifkan dukungan TLS 1.3 di browser Google Chrome dan Firefox

Firefox dan Chrome mendukung TLS 1.3, tetapi versi ini tidak diaktifkan secara default. Pasalnya, saat ini baru ada dalam bentuk draft.

Mozilla Firefox

Ketik about:config di bilah alamat browser Anda. Konfirmasikan bahwa Anda memahami risikonya.

1. Editor Pengaturan Firefox akan terbuka.
2. Masukkan security.tls.version.max dalam pencarian
3. Ubah nilainya menjadi 4 dengan mengklik dua kali pada nilai saat ini.

Google Chrome

1. Ketik chrome://flags/ di bilah alamat browser Anda untuk membuka panel eksperimen.
2. Temukan opsi #tls13-variant
3. Klik pada menu dan atur ke Diaktifkan (Draf).
4. Mulai ulang peramban Anda.

Cara mengecek apakah browser Anda menggunakan versi 1.2

Kami mengingatkan Anda bahwa versi 1.3 belum digunakan untuk umum. Jika kamu tidak mau
pakai drafnya, bisa tetap di versi 1.2.

Untuk memeriksa apakah browser Anda menggunakan versi 1.2, ikuti langkah yang sama seperti petunjuk di atas dan pastikan bahwa:

• Untuk Firefox, nilai security.tls.version.max adalah 3. Jika lebih rendah, ubah menjadi 3 dengan mengklik dua kali pada nilai saat ini.
• Untuk Google Chrome: Klik pada menu browser - pilih Pengaturan- Pilih Tampilkan pengaturan lanjutan- turun ke bagian Sistem dan klik Buka pengaturan proksi…:

• Di jendela yang terbuka, klik tab Keamanan dan pastikan bidang Gunakan TLS 1.2 dicentang. Jika tidak, periksa dan klik OK:

Perubahan akan berlaku setelah Anda me-restart komputer Anda.

Alat cepat untuk memeriksa versi protokol SSL/TLS browser Anda

Buka alat pemeriksa versi protokol online SSL Labs. Halaman tersebut akan menampilkan secara real time versi protokol yang digunakan, dan apakah browser rentan terhadap kerentanan apa pun.

Sumber: terjemahan

Jika Anda mengalami masalah ketika akses ke situs tertentu gagal dan pesan muncul di browser Anda, ada penjelasan yang masuk akal untuk hal ini. Penyebab dan solusi masalah diberikan dalam artikel ini.

Protokol SSL TLS

Pengguna organisasi anggaran, dan bukan hanya organisasi anggaran, yang kegiatannya berhubungan langsung dengan keuangan, berinteraksi dengan lembaga keuangan, misalnya, Kementerian Keuangan, Perbendaharaan, dll., melakukan semua operasinya secara eksklusif menggunakan protokol SSL yang aman. Pada dasarnya, dalam pekerjaan mereka, mereka menggunakan peramban Internet Penjelajah. Dalam beberapa kasus - Mozilla Firefox.

Kesalahan SSL

Perhatian utama saat melakukan operasi ini, dan pekerjaan secara umum, diberikan pada sistem keamanan: sertifikat, tanda tangan elektronik. Digunakan untuk bekerja perangkat lunak KriptoPro versi sekarang. Tentang masalah dengan protokol SSL dan TLS, Jika kesalahan SSL muncul, kemungkinan besar tidak ada dukungan untuk protokol ini.

kesalahan TLS

kesalahan TLS dalam banyak kasus, hal ini juga dapat menunjukkan kurangnya dukungan protokol. Tapi... mari kita lihat apa yang bisa dilakukan dalam kasus ini.

Dukungan protokol SSL dan TLS

Jadi ketika menggunakan Microsoft Internet Explorer untuk mengunjungi situs web yang diamankan SSL, bilah judul akan ditampilkan Pastikan protokol ssl dan tls diaktifkan. Pertama-tama, Anda perlu mengaktifkan dukungan untuk protokol TLS 1.0 di Internet Explorer.

Jika Anda mengunjungi situs web yang menjalankan Layanan Informasi Internet 4.0 atau lebih tinggi, mengonfigurasi Internet Explorer untuk mendukung TLS 1.0 membantu mengamankan koneksi Anda. Tentu saja, asalkan server web jarak jauh yang Anda coba gunakan mendukung protokol ini.

Untuk melakukan ini di menu Melayani pilih tim pilihan internet.

Di tab Selain itu Dalam bab Keamanan, pastikan kotak centang berikut dipilih:

• Gunakan SSL 2.0
• Gunakan SSL 3.0
• Gunakan SSL 1.0

Klik tombolnya Menerapkan , kemudian OKE . Mulai ulang peramban Anda .

Setelah mengaktifkan TLS 1.0, coba kunjungi situs webnya lagi.

Kebijakan Keamanan Sistem

Jika hal itu masih terjadi kesalahan dengan SSL dan TLS Jika Anda masih tidak dapat menggunakan SSL, server web jarak jauh mungkin tidak mendukung TLS 1.0. Dalam hal ini, Anda harus menonaktifkan kebijakan sistem yang memerlukan algoritma yang sesuai dengan FIPS.

Untuk melakukan ini, di Panel kontrol Pilih Administrasi, lalu klik dua kali Kebijakan Keamanan Lokal.

Di Pengaturan Keamanan Lokal, perluas Kebijakan lokal lalu klik tombolnya Pengaturan keamanan.

Menurut kebijakan di sisi kanan jendela, klik dua kali Kriptografi sistem: gunakan algoritme yang sesuai dengan FIPS untuk enkripsi, hashing, dan penandatanganan lalu klik tombolnya Dengan disabilitas.

Perhatian!

Perubahan akan berlaku setelah mengajukan permohonan kembali politik lokal keamanan. Nyalakan dan mulai ulang browser Anda.

SSL TLS CryptoPro

Perbarui CryptoPro

Salah satu opsi untuk mengatasi masalah ini adalah memperbarui CryptoPro, serta mengkonfigurasi sumber daya. Dalam hal ini, ini bekerja dengan pembayaran elektronik. Kunjungi Otoritas Sertifikasi. Pilih Pasar Elektronik sebagai sumber daya.

Setelah peluncuran pengaturan otomatis tempat kerja, hanya akan ada tunggu hingga prosedur selesai, Kemudian memuat ulang peramban. Jika Anda perlu memasukkan atau memilih alamat sumber daya, pilih salah satu yang Anda perlukan. Anda mungkin juga perlu me-restart komputer Anda ketika pengaturan selesai.

Pada bulan Oktober, para insinyur Google menerbitkan informasi tentang kerentanan kritis V SSL versi 3.0, yang mendapat nama lucu POODLE(Mengisi Oracle Pada Enkripsi Lama atau Pudel yang Didowngrade 🙂). Kerentanan ini memungkinkan penyerang mendapatkan akses ke informasi yang dienkripsi dengan protokol SSLv3 menggunakan serangan “man in”. Tengah" Baik server maupun klien yang dapat terhubung menggunakan protokol SSLv3 rentan terhadap kerentanan tersebut.

Secara umum, situasinya tidak mengherankan, karena... protokol SSL 3.0, pertama kali diperkenalkan pada tahun 1996, sudah berusia 18 tahun dan sudah ketinggalan zaman. Dalam sebagian besar tugas praktis, protokol ini telah digantikan oleh protokol kriptografi TLS(versi 1.0, 1.1 dan 1.2).

Untuk melindungi dari kerentanan POODLE, disarankan untuk sepenuhnya nonaktifkan dukungan SSLv3 di sisi klien dan sisi server dan selanjutnya hanya menggunakan TLS. Untuk pengguna perangkat lunak lama (seperti pengguna IIS 6 di Windows XP), ini berarti mereka tidak dapat lagi melihat halaman HTTPS atau menggunakan layanan SSL lainnya. Jika dukungan SSLv3 tidak sepenuhnya dinonaktifkan dan enkripsi yang lebih kuat ditawarkan secara default, kerentanan POODLE akan tetap ada. Hal ini disebabkan oleh kekhasan memilih dan menyetujui protokol enkripsi antara klien dan server, karena Jika masalah terdeteksi dalam penggunaan TLS, transisi otomatis ke SSL terjadi.

Kami menyarankan Anda memeriksa semua layanan Anda yang mungkin menggunakan SSL/TLS dalam bentuk apa pun dan menonaktifkan dukungan SSLv3. Anda dapat memeriksa kerentanan server web Anda menggunakan tes online, misalnya, di sini: http://poodlebleed.com/.

Catatan. Harus dipahami dengan jelas bahwa menonaktifkan SSL v3 pada tingkat sistem hanya akan berfungsi untuk perangkat lunak yang menggunakan API sistem untuk enkripsi SSL (Internet Explorer, IIS, SQL NLA, RRAS, dll.). Program yang menggunakan alat kriptonya sendiri (Firefox, Opera, dll.) perlu diperbarui dan dikonfigurasi satu per satu.

Menonaktifkan SSLv3 di Windows pada tingkat sistem

Di sistem operasi Kontrol jendela dukungan untuk protokol SSL/TLS disediakan melalui registri.

Dalam contoh ini kami akan menunjukkan cara menonaktifkan SSLv3 sepenuhnya pada tingkat sistem (baik tingkat klien maupun server). Server Windows 2012 R2:

Nonaktifkan SSLv2 (Windows 2008/Server dan yang lebih lama)

OS sebelum Windows 7 / Windows Server 2008 R2 menggunakan protokol yang kurang aman dan ketinggalan jaman secara default SSL v2, yang juga harus dinonaktifkan karena alasan keamanan (yang lebih baru Versi Windows, SSLv2 di tingkat klien dinonaktifkan secara default dan hanya SSLv3 dan TLS1.0 yang digunakan). Untuk menonaktifkan SSLv2, Anda perlu mengulangi prosedur yang dijelaskan di atas, hanya untuk kunci registri SSL 2.0.

Pada Windows 2008/2012, SSLv2 dinonaktifkan di tingkat klien secara default.

Aktifkan TLS 1.1 dan TLS 1.2 di Windows Server 2008 R2 dan lebih tinggi

Windows Server 2008 R2 / Windows 7 dan yang lebih tinggi mendukung algoritma enkripsi TLS 1.1 dan TLS 1.2, namun protokol ini dinonaktifkan secara default. Anda dapat mengaktifkan dukungan untuk TLS 1.1 dan TLS 1.2 di versi Windows ini menggunakan skenario serupa

Utilitas untuk mengelola protokol kriptografi sistem di Windows Server

Ada utilitas gratis IIS Crypto, yang memungkinkan Anda mengelola parameter protokol kriptografi dengan mudah di Windows Server 2003, 2008 dan 2012. Dengan menggunakan utilitas ini, Anda dapat mengaktifkan atau menonaktifkan protokol enkripsi mana pun hanya dalam dua klik.

Program ini sudah memiliki beberapa templat yang memungkinkan Anda menerapkan preset dengan cepat untuk berbagai pengaturan keamanan.

Masalah

Saat mencoba masuk Wilayah Pribadi Pesan kesalahan GIIS “Anggaran Elektronik” muncul:

Halaman ini tidak dapat ditampilkan

Menyalakan protokol TLS 1.0, TLS 1.1 dan TLS 1.2 di bagian " Opsi tambahan"dan coba sambungkan ke halaman web https://ssl.budgetplan.minfin.ru lagi. Jika Anda tidak dapat mengatasi kesalahan tersebut, hubungi administrator situs web Anda.

Larutan

Penting untuk memeriksa pengaturan tempat kerja sesuai dengan dokumen.

Instruksi tidak menyebutkan beberapa nuansa:

1. Anda perlu menginstal Pengaya Peramban CryptoPro EDS dan periksa pengoperasiannya di halaman demo.
2. Pemfilteran protokol SSL/TLS perlu dinonaktifkan di pengaturan antivirus; dengan kata lain, untuk situs yang Anda cari, Anda harus membuat pengecualian untuk memeriksa koneksi aman. DI DALAM antivirus yang berbeda mungkin disebut berbeda. Misalnya, di Kaspersky Gratis harus pergi “Pengaturan>Lanjutan>Jaringan>Jangan periksa koneksi aman” .

TLS adalah penerus SSL, sebuah protokol yang menyediakan koneksi yang andal dan aman antar node di Internet. Ini digunakan dalam pengembangan berbagai klien, termasuk browser dan aplikasi klien-server. Apa itu TLS di Internet Explorer?

Sedikit tentang teknologi

Semua perusahaan dan organisasi yang terlibat dalam transaksi keuangan menggunakan protokol ini untuk mencegah penyadapan paket dan akses tidak sah oleh penyusup. Teknologi ini dirancang untuk melindungi koneksi penting dari serangan penyusup.

Pada dasarnya, organisasi mereka menggunakan browser bawaan. Dalam beberapa kasus - Mozilla Firefox.

Mengaktifkan atau menonaktifkan protokol

Terkadang tidak mungkin mengakses beberapa situs karena dukungan untuk teknologi SSL dan TLS dinonaktifkan. Pemberitahuan muncul di browser. Jadi, bagaimana cara mengaktifkan protokol agar Anda dapat terus menikmati komunikasi yang aman?
1.Buka Panel Kontrol melalui Mulai. Cara lain: buka Explorer dan klik ikon roda gigi di pojok kanan atas.

2.Buka bagian “Opsi Peramban” dan buka blok “Lanjutan”.

3.Centang kotak di samping “Gunakan TLS 1.1 dan TLS 1.2.”

4.Klik OK untuk menyimpan perubahan Anda. Jika Anda ingin menonaktifkan protokol, yang sangat tidak disarankan, terutama jika Anda menggunakan perbankan online, hapus centang pada item yang sama.

Apa perbedaan antara 1.0 dan 1.1 dan 1.2? 1.1 hanyalah versi TLS 1.0 yang sedikit lebih baik, yang sebagian mewarisi kekurangannya. 1.2 adalah versi protokol yang paling aman. Di sisi lain, tidak semua situs dapat dibuka ketika versi protokol ini diaktifkan.

Seperti yang Anda ketahui, Skype messenger terhubung langsung ke Internet Explorer sebagai komponen Windows. Jika Anda tidak mencentang protokol TLS di pengaturan, maka masalah mungkin timbul dengan Skype. Program ini tidak akan dapat terhubung ke server.

Jika dukungan TLS dinonaktifkan di pengaturan Internet Explorer, semua fungsi program yang terkait dengan jaringan tidak akan berfungsi. Selain itu, keamanan data Anda bergantung pada teknologi ini. Jangan abaikan jika Anda melakukan transaksi keuangan di browser ini (pembelian di toko online, transfer uang melalui online banking atau e-wallet, dll).