Jak povolit protokol tls 1.0. Ochrana systému Windows před chybami zabezpečení SSL v3. Nástroj pro správu systémových kryptografických protokolů v systému Windows Server

TLS je nástupcem protokolu SSL, který poskytuje spolehlivé a bezpečné spojení mezi uzly na internetu. Používá se při vývoji různých klientů, včetně prohlížečů a aplikací klient-server. Co je TLS v Internet Exploreru?

Něco málo o technologii

Všechny podniky a organizace, které se zabývají finančními transakcemi, používají tento protokol, aby zabránily odposlouchávání paketů a neoprávněnému přístupu vetřelců. Tato technologie je navržena tak, aby chránila důležitá spojení před útoky narušitelů.

Jejich organizace v zásadě používají vestavěný prohlížeč. V některých případech - Mozilla Firefox.

Povolení nebo zakázání protokolu

Někdy je nemožný přístup na některé stránky, protože je zakázána podpora technologií SSL a TLS. V prohlížeči se zobrazí upozornění. Jak tedy můžete povolit protokoly, abyste si mohli nadále užívat zabezpečenou komunikaci?
1. Otevřete Ovládací panely přes Start. Jiný způsob: otevřete Průzkumníka a klikněte na ikonu ozubeného kola v pravém horním rohu.

2. Přejděte do části „Možnosti prohlížeče“ a otevřete blok „Upřesnit“.

3. Zaškrtněte políčka vedle „Použít TLS 1.1 a TLS 1.2.“

4. Klepnutím na tlačítko OK uložte změny. Pokud chcete deaktivovat protokoly, což se důrazně nedoporučuje, zejména pokud používáte online bankovnictví, zrušte zaškrtnutí stejných položek.

Jaký je rozdíl mezi 1.0 a 1.1 a 1.2? 1.1 je jen mírně vylepšená verze TLS 1.0, která částečně zdědila jeho nedostatky. 1.2 je nejbezpečnější verze protokolu. Na druhou stranu ne všechny weby lze otevřít s touto povolenou verzí protokolu.

Jak víte, Skype messenger je přímo připojen k Internet Exploreru jako součást Windows. Pokud nemáte v nastavení zaškrtnutý protokol TLS, pak mohou nastat problémy se Skypem. Program se jednoduše nebude moci připojit k serveru.

Pokud je v nastavení aplikace Internet Explorer zakázána podpora TLS, nebudou fungovat všechny síťové funkce programu. Na této technologii navíc závisí bezpečnost vašich dat. Nezanedbávejte jej, pokud v tomto prohlížeči provádíte finanční transakce (nákupy v internetových obchodech, převody peněz prostřednictvím internetového bankovnictví nebo elektronické peněženky atd.).

V říjnu inženýři Google zveřejnili informace o kritické zranitelnosti v SSL verze 3.0, který dostal vtipný název PUDL(Padding Oracle On Downgraded Legacy Encryption nebo pudl 🙂). Tato chyba zabezpečení umožňuje útočníkovi získat přístup k informacím zašifrovaným protokolem SSLv3 pomocí útoku „man in the middle“. Jak servery, tak klienti, kteří se mohou připojit pomocí protokolu SSLv3, jsou touto chybou zabezpečení zranitelní.

Obecně není situace překvapivá, protože... protokol SSL 3.0, poprvé představen již v roce 1996, je již 18 let starý a je již morálně zastaralý. Ve většině praktických úloh již byl nahrazen kryptografickým protokolem TLS(verze 1.0, 1.1 a 1.2).

Pro ochranu před zranitelností POODLE se doporučuje plně zakázat podporu SSLv3 na straně klienta i serveru a napříště používat pouze TLS. Pro uživatele staršího softwaru (jako jsou uživatelé používající IIS 6 v systému Windows XP) to znamená, že již nebudou moci prohlížet stránky HTTPS ani používat jiné služby SSL. Pokud není podpora SSLv3 zcela zakázána a ve výchozím nastavení je nabízeno silnější šifrování, zranitelnost POODLE bude stále existovat. Je to kvůli zvláštnostem výběru a odsouhlasení šifrovacího protokolu mezi klientem a serverem, protože Pokud jsou zjištěny problémy při používání TLS, dojde k automatickému přechodu na SSL.

Doporučujeme zkontrolovat všechny vaše služby, které mohou používat SSL/TLS v jakékoli formě, a zakázat podporu SSLv3. Na svém webovém serveru můžete zkontrolovat zranitelnosti pomocí online testu, například zde: http://poodlebleed.com/.

Poznámka. Je třeba jasně chápat, že zakázání SSL v3 na úrovni celého systému bude fungovat pouze u softwaru, který používá systémová API pro šifrování SSL (Internet Explorer, IIS, SQL NLA, RRAS atd.). Programy, které používají vlastní kryptografické nástroje (Firefox, Opera atd.), je třeba aktualizovat a konfigurovat individuálně.

Zakázání SSLv3 ve Windows na systémové úrovni

V OS Windows je podpora protokolů SSL/TLS spravována prostřednictvím registru.

V tomto příkladu si ukážeme, jak úplně zakázat SSLv3 na úrovni systému (na úrovni klienta i serveru) v systému Windows Server 2012 R2:

Zakázat SSLv2 (Windows 2008 / Server a nižší)

Operační systémy starší než Windows 7 / Windows Server 2008 R2 používají ve výchozím nastavení ještě méně bezpečný a zastaralý protokol SSL v2, který by měl být z bezpečnostních důvodů také zakázán (v novějších verzích Windows je SSLv2 na úrovni klienta ve výchozím nastavení zakázáno a používají se pouze SSLv3 a TLS1.0). Chcete-li zakázat SSLv2, musíte opakovat postup popsaný výše, pouze pro klíč registru SSL 2.0.

V systému Windows 2008/2012 je protokol SSLv2 na úrovni klienta ve výchozím nastavení zakázán.

Povolte TLS 1.1 a TLS 1.2 v systému Windows Server 2008 R2 a vyšším

Windows Server 2008 R2 / Windows 7 a vyšší podporují šifrovací algoritmy TLS 1.1 a TLS 1.2, ale tyto protokoly jsou ve výchozím nastavení zakázány. V těchto verzích systému Windows můžete povolit podporu pro TLS 1.1 a TLS 1.2 pomocí podobného scénáře


Nástroj pro správu systémových kryptografických protokolů v systému Windows Server

K dispozici je bezplatná utilita IIS Crypto, která vám umožní pohodlně spravovat parametry kryptografických protokolů ve Windows Server 2003, 2008 a 2012. Pomocí této utility můžete povolit nebo zakázat kterýkoli z šifrovacích protokolů pouhými dvěma kliknutími.

Program již obsahuje několik šablon, které vám umožňují rychle použít předvolby pro různá nastavení zabezpečení.

Pokud narazíte na problém, kdy selže přístup na konkrétní web a ve vašem prohlížeči se zobrazí zpráva, existuje rozumné vysvětlení. Příčiny a řešení problému jsou uvedeny v tomto článku.

SSL protokol TLS

Uživatelé rozpočtových organizací, a to nejen rozpočtových, jejichž činnost přímo souvisí s financemi, v interakci s finančními organizacemi, např. ministerstvem financí, státní pokladnou apod., provádějí veškeré své operace výhradně pomocí zabezpečeného protokolu SSL. V podstatě při své práci používají prohlížeč Internet Explorer. V některých případech - Mozilla Firefox.

Chyba SSL

Hlavní pozornost při provádění těchto operací a prací obecně je věnována bezpečnostnímu systému: certifikáty, elektronické podpisy. K provozu se používá aktuální verze softwaru CryptoPro. Pokud jde o problémy s protokoly SSL a TLS, Pokud Chyba SSL se objevil, s největší pravděpodobností neexistuje podpora pro tento protokol.

Chyba TLS

Chyba TLS v mnoha případech to může také znamenat nedostatek podpory protokolů. Ale... pojďme se podívat, co se v tomto případě dá dělat.

Podpora protokolů SSL a TLS

Když tedy používáte Microsoft Internet Explorer k návštěvě webu zabezpečeného SSL, zobrazí se záhlaví Ujistěte se, že jsou povoleny protokoly ssl a tls. Nejprve je potřeba povolit podporu protokolu TLS 1.0 v Internet Exploreru.

Pokud navštěvujete web, který provozuje Internet Information Services 4.0 nebo vyšší, konfigurace aplikace Internet Explorer na podporu TLS 1.0 pomůže zabezpečit vaše připojení. Samozřejmě za předpokladu, že vzdálený webový server, který se pokoušíte použít, tento protokol podporuje.

Chcete-li to provést v nabídce Servis vybrat tým možnosti internetu.

Na kartě dodatečně V kapitole Bezpečnost, ujistěte se, že jsou zaškrtnuta následující políčka:

  • Použijte SSL 2.0
  • Použijte SSL 3.0
  • Použijte SSL 1.0

Klepněte na tlačítko Aplikovat , a pak OK . Restartujte prohlížeč .

Po povolení TLS 1.0 zkuste web navštívit znovu.

Zásady zabezpečení systému

Pokud se stále vyskytují chyby s SSL a TLS Pokud stále nemůžete používat SSL, vzdálený webový server pravděpodobně nepodporuje TLS 1.0. V tomto případě musíte zakázat systémové zásady, které vyžadují algoritmy vyhovující standardu FIPS.

Chcete-li to provést, v Ovládací panely vybrat Správa a potom dvakrát klikněte Místní bezpečnostní politika.

V části Místní nastavení zabezpečení rozbalte Místní zásady a poté klikněte na tlačítko Bezpečnostní nastavení.

Podle zásad na pravé straně okna dvakrát klikněte Systémová kryptografie: pro šifrování, hashování a podepisování používejte algoritmy vyhovující FIPS a poté klikněte na tlačítko Zakázáno.

Pozornost!

Změna se projeví po opětovném použití místní zásady zabezpečení. Zapněte jej a restartujte prohlížeč.

CryptoPro TLS SSL

Aktualizujte CryptoPro

Jednou z možností, jak problém vyřešit, je aktualizovat CryptoPro a také nakonfigurovat zdroj. V tomto případě se jedná o práci s elektronickými platbami. Přejděte na certifikační autoritu. Jako zdroj vyberte Elektronická tržiště.

Po spuštění automatického nastavení pracoviště zbývá už jen počkejte na dokončení postupu, pak znovu načíst prohlížeč. Pokud potřebujete zadat nebo vybrat adresu zdroje, vyberte tu, kterou potřebujete. Po dokončení nastavení může být také nutné restartovat počítač.

Problém

Při pokusu o přihlášení k osobnímu účtu GIIS „Elektronický rozpočet“ se zobrazí chybová zpráva:

Tato stránka nemůže být zobrazena

Povolte protokoly TLS 1.0, TLS 1.1 a TLS 1.2 v části „Pokročilá nastavení“ a zkuste se znovu připojit k webové stránce https://ssl.budgetplan.minfin.ru. Pokud nemůžete chybu vyřešit, kontaktujte svého správce webu.

Řešení

Je nutné zkontrolovat nastavení pracoviště dle dokumentu.

Pokyny nezmiňují několik nuancí:

  1. Musíte nainstalovat Zásuvný modul CryptoPro EDS Browser a zkontrolujte jeho fungování na stránce demo.
  2. V nastavení antiviru je nutné zakázat filtrování protokolu SSL/TLS, jinými slovy, pro hledaný web byste měli udělat výjimku pro kontrolu zabezpečeného připojení. V různých antivirech se může nazývat odlišně. Například musíte přejít na Kaspersky Free "Nastavení>Upřesnit>Síť>Nekontrolovat zabezpečená připojení" .

Protokol TLS šifruje všechny typy internetového provozu, čímž zajišťuje komunikaci a online prodej. Povíme si, jak protokol funguje a co nás čeká v budoucnu.

Z článku se dozvíte:

Co je SSL

SSL neboli Secure Sockets Layer byl původní název protokolu, který Netscape vyvinul v polovině 90. let. SSL 1.0 nebyl nikdy veřejně dostupný a verze 2.0 měla vážné nedostatky. SSL 3.0, vydaný v roce 1996, byl kompletní revizí a udal tón pro další fázi vývoje.

Co je TLS

Když byla v roce 1999 vydána další verze protokolu, Internet Engineering Task Force jej standardizovala a dala mu nový název: Transport Layer Security neboli TLS. Jak uvádí dokumentace TLS, "rozdíl mezi tímto protokolem a SSL 3.0 není kritický." TLS a SSL tvoří pokračující řadu protokolů a jsou často kombinovány pod názvem SSL/TLS.

Protokol TLS šifruje internetový provoz jakéhokoli druhu. Nejběžnějším typem je webový provoz. Poznáte, kdy váš prohlížeč naváže připojení TLS – pokud odkaz v adresním řádku začíná „https“.

TLS využívají také další aplikace, jako jsou poštovní a telekonferenční systémy.

Jak funguje TLS

Pro bezpečnou online komunikaci je nutné šifrování. Pokud vaše data nejsou zašifrována, může je kdokoli analyzovat a číst citlivé informace.

Nejbezpečnější metoda šifrování je asymetrické šifrování. To vyžaduje 2 klíče, 1 veřejný a 1 soukromý. Jedná se o soubory s informacemi, nejčastěji velmi velkými čísly. Mechanismus je složitý, ale jednoduše řečeno, k šifrování dat můžete použít veřejný klíč, ale k dešifrování potřebujete soukromý klíč. Tyto dva klíče jsou propojeny pomocí složitého matematického vzorce, který je obtížné hacknout.

Veřejný klíč si můžete představit jako informaci o umístění zamčené schránky s dírou a soukromý klíč jako klíč, který schránku otevírá. Kdo ví, kde ta krabice je, může tam dát dopis. K jejímu přečtení ale člověk potřebuje klíč k otevření krabice.

Vzhledem k tomu, že asymetrické šifrování využívá složité matematické výpočty, vyžaduje velké množství výpočetních zdrojů. TLS řeší tento problém pomocí asymetrického šifrování pouze na začátku relace k šifrování komunikace mezi serverem a klientem. Server a klient se musí dohodnout na jediném klíči relace, který budou oba používat k šifrování datových paketů.

Zavolá se proces, při kterém se klient a server dohodnou na klíči relace podání ruky. To je okamžik, kdy se navzájem představí 2 komunikující počítače.

Proces handshake TLS

Proces TLS handshake je poměrně složitý. Níže uvedené kroky popisují proces obecně, abyste pochopili, jak obecně funguje.

  1. Klient kontaktuje server a požaduje zabezpečené připojení. Server odpoví seznamem šifer – sady algoritmů pro vytváření šifrovaných spojení – které ví, jak je používat. Klient porovná seznam se svým seznamem podporovaných šifer, vybere vhodnou a dá serveru vědět, kterou z nich dva použijí.
  2. Server poskytuje svůj digitální certifikát – elektronický dokument podepsaný třetí stranou, který potvrzuje pravost serveru. Nejdůležitější informací v certifikátu je veřejný klíč k šifře. Klient potvrdí pravost certifikátu.
  3. Pomocí veřejného klíče serveru klient a server vytvoří klíč relace, který budou oba používat během relace k šifrování komunikace. Na to existuje několik metod. Klient může použít veřejný klíč k zašifrování libovolného čísla, které je poté odesláno na server k dešifrování a obě strany pak toto číslo použijí k vytvoření klíče relace.

Klíč relace je platný pouze pro jednu nepřetržitou relaci. Pokud je z nějakého důvodu komunikace mezi klientem a serverem přerušena, bude k vytvoření nového klíče relace potřeba nový handshake.

Chyby zabezpečení protokolů TLS 1.2 a TLS 1.2

TLS 1.2 je nejběžnější verze protokolu. Tato verze nainstalovala původní platformu možností šifrování relace. Stejně jako některé předchozí verze protokolu však tento protokol umožňoval použití starších šifrovacích technik pro podporu starších počítačů. Bohužel to vedlo k chybám zabezpečení ve verzi 1.2, protože tyto starší šifrovací mechanismy se staly zranitelnějšími.

Například TLS 1.2 se stal obzvláště zranitelným vůči útokům manipulace, při kterých útočník zachycuje datové pakety uprostřed relace a odesílá je po jejich přečtení nebo úpravě. Mnoho z těchto problémů se objevilo během posledních 2 let, takže je naléhavé vytvořit aktualizovanou verzi protokolu.

TLS 1.3

Verze 1.3 protokolu TLS, která bude brzy dokončena, řeší mnoho problémů se zranitelnostmi tím, že upouští od podpory starších šifrovacích systémů.
Nová verze je kompatibilní s předchozími verzemi: připojení se například vrátí k TLS 1.2, pokud jedna ze stran nemůže použít novější šifrovací systém v seznamu povolených protokolových algoritmů verze 1.3. Pokud se však při útoku zfalšováním připojení hacker uprostřed relace násilně pokusí snížit verzi protokolu na 1.2, bude tato akce zaznamenána a připojení bude ukončeno.

Jak povolit podporu TLS 1.3 v prohlížečích Google Chrome a Firefox

Firefox a Chrome podporují TLS 1.3, ale tato verze není ve výchozím nastavení povolena. Důvodem je, že v současné době existuje pouze ve formě návrhu.

Mozilla Firefox

Do adresního řádku prohlížeče zadejte about:config. Potvrďte, že rozumíte rizikům.

  1. Otevře se Editor nastavení Firefoxu.
  2. Do vyhledávání zadejte security.tls.version.max
  3. Změňte hodnotu na 4 dvojitým kliknutím na aktuální hodnotu.



Google Chrome

  1. Zadáním chrome://flags/ do adresního řádku prohlížeče otevřete panel experimentů.
  2. Najděte možnost #tls13-varianta
  3. Klikněte na nabídku a nastavte ji na Povoleno (Koncept).
  4. Restartujte prohlížeč.

Jak zkontrolovat, zda váš prohlížeč používá verzi 1.2

Připomínáme, že verze 1.3 ještě není veřejně používána. Jestli nechceš
použijte koncept, můžete zůstat na verzi 1.2.

Chcete-li zkontrolovat, zda váš prohlížeč používá verzi 1.2, postupujte stejně jako ve výše uvedených pokynech a ujistěte se, že:

  • Pro Firefox je hodnota security.tls.version.max 3. Pokud je nižší, změňte ji na 3 dvojitým kliknutím na aktuální hodnotu.
  • Pro Google Chrome: klikněte na nabídku prohlížeče - vyberte Nastavení- vybrat Zobrazit pokročilá nastavení- jděte dolů do sekce Systém a klikněte na Otevřít nastavení proxy…:

  • V okně, které se otevře, klikněte na kartu Zabezpečení a ujistěte se, že je zaškrtnuto pole Použít TLS 1.2. Pokud ne, zkontrolujte to a klikněte na OK:


Změny se projeví po restartování počítače.

Rychlý nástroj pro kontrolu verze protokolu SSL/TLS vašeho prohlížeče

Přejděte do online nástroje pro kontrolu verze protokolu SSL Labs. Na stránce se v reálném čase zobrazí použitá verze protokolu a zda je prohlížeč náchylný k nějakým zranitelnostem.

Prameny: překlad