Comment activer le protocole tls 1.0. Protection de Windows contre les vulnérabilités SSL v3. Un utilitaire pour gérer les protocoles cryptographiques du système dans Windows Server

TLS est le successeur de SSL, un protocole qui fournit une connexion fiable et sécurisée entre les nœuds sur Internet. Il est utilisé dans le développement de divers clients, notamment des navigateurs et des applications client-serveur. Qu’est-ce que TLS dans Internet Explorer ?

Un peu de technologie

Toutes les entreprises et organisations qui effectuent des transactions financières utilisent ce protocole pour empêcher les écoutes clandestines de paquets et les accès non autorisés par des intrus. Cette technologie est conçue pour protéger les connexions importantes contre les attaques d’intrus.

Fondamentalement, leurs organisations utilisent un navigateur intégré. Dans certains cas - Mozilla Firefox.

Activer ou désactiver un protocole

Il est parfois impossible d'accéder à certains sites car le support des technologies SSL et TLS est désactivé. Une notification apparaît dans le navigateur. Alors, comment pouvez-vous activer les protocoles pour pouvoir continuer à bénéficier de communications sécurisées ?
1.Ouvrez le Panneau de configuration via Démarrer. Une autre façon : ouvrez l'Explorateur et cliquez sur l'icône d'engrenage dans le coin supérieur droit.

2. Accédez à la section « Options du navigateur » et ouvrez le bloc « Avancé ».

3.Cochez les cases à côté de « Utiliser TLS 1.1 et TLS 1.2 ».

4.Cliquez sur OK pour enregistrer vos modifications. Si vous souhaitez désactiver les protocoles, ce qui est fortement déconseillé, notamment si vous utilisez la banque en ligne, décochez les mêmes rubriques.

Quelle est la différence entre 1.0 et 1.1 et 1.2 ? 1.1 n’est qu’une version légèrement améliorée de TLS 1.0, qui hérite en partie de ses défauts. 1.2 est la version la plus sécurisée du protocole. En revanche, tous les sites ne peuvent pas s'ouvrir avec cette version du protocole activée.

Comme vous le savez, Skype Messenger est directement connecté à Internet Explorer en tant que composant Windows. Si vous n'avez pas coché le protocole TLS dans les paramètres, des problèmes peuvent survenir avec Skype. Le programme ne pourra tout simplement pas se connecter au serveur.

Si la prise en charge de TLS est désactivée dans les paramètres d'Internet Explorer, toutes les fonctions du programme liées au réseau ne fonctionneront pas. De plus, la sécurité de vos données dépend de cette technologie. Ne le négligez pas si vous effectuez des transactions financières dans ce navigateur (achats dans des boutiques en ligne, transfert d'argent via la banque en ligne ou le portefeuille électronique, etc.).

En octobre, les ingénieurs de Google ont publié des informations sur une vulnérabilité critique dans SSL version 3.0, qui a reçu un drôle de nom CANICHE(Rembourrage Oracle sur le cryptage hérité rétrogradé ou caniche 🙂). La vulnérabilité permet à un attaquant d'accéder à des informations cryptées avec le protocole SSLv3 à l'aide d'une attaque de « l'homme du milieu ». Les serveurs et les clients pouvant se connecter à l'aide du protocole SSLv3 sont vulnérables à cette vulnérabilité.

En général, la situation n'est pas surprenante, car... protocole SSL3.0, introduit pour la première fois en 1996, a déjà 18 ans et est déjà moralement dépassé. Dans la plupart des tâches pratiques, il a déjà été remplacé par un protocole cryptographique TLS(versions 1.0, 1.1 et 1.2).

Pour se protéger contre la vulnérabilité POODLE, il est recommandé de désactiver la prise en charge SSLv3 côté client et côté serveur et n'utilise désormais que TLS. Pour les utilisateurs de logiciels existants (tels que ceux qui utilisent IIS 6 sur Windows XP), cela signifie qu'ils ne pourront plus afficher les pages HTTPS ni utiliser d'autres services SSL. Si la prise en charge de SSLv3 n'est pas complètement désactivée et qu'un cryptage plus fort est proposé par défaut, la vulnérabilité POODLE existera toujours. Cela est dû aux particularités du choix et de l'accord sur le protocole de cryptage entre le client et le serveur, car Si des problèmes sont détectés lors de l'utilisation de TLS, une transition automatique vers SSL se produit.

Nous vous recommandons de vérifier tous vos services susceptibles d'utiliser SSL/TLS sous quelque forme que ce soit et de désactiver la prise en charge SSLv3. Vous pouvez vérifier les vulnérabilités de votre serveur Web à l'aide d'un test en ligne, par exemple ici : http://poodlebleed.com/.

Note. Il faut bien comprendre que la désactivation de SSL v3 à l'échelle du système ne fonctionnera que pour les logiciels qui utilisent les API système pour le cryptage SSL (Internet Explorer, IIS, SQL NLA, RRAS, etc.). Les programmes qui utilisent leurs propres outils de cryptographie (Firefox, Opera, etc.) doivent être mis à jour et configurés individuellement.

Désactiver SSLv3 sous Windows au niveau du système

Sous le système d'exploitation Windows, la prise en charge des protocoles SSL/TLS est gérée via le registre.

Dans cet exemple, nous montrerons comment désactiver complètement SSLv3 au niveau du système (au niveau client et serveur) dans Windows Server 2012 R2 :

Désactivez SSLv2 (Windows 2008 / Server et versions antérieures)

Les systèmes d'exploitation antérieurs à Windows 7 / Windows Server 2008 R2 utilisent par défaut un protocole encore moins sécurisé et obsolète SSLv2, qui doit également être désactivé pour des raisons de sécurité (dans les versions plus récentes de Windows, SSLv2 au niveau client est désactivé par défaut et seuls SSLv3 et TLS1.0 sont utilisés). Pour désactiver SSLv2, vous devez répéter la procédure décrite ci-dessus, uniquement pour la clé de registre SSL2.0.

Sous Windows 2008/2012, SSLv2 est désactivé par défaut au niveau du client.

Activer TLS 1.1 et TLS 1.2 dans Windows Server 2008 R2 et versions ultérieures

Windows Server 2008 R2 / Windows 7 et versions ultérieures prennent en charge les algorithmes de chiffrement TLS 1.1 et TLS 1.2, mais ces protocoles sont désactivés par défaut. Vous pouvez activer la prise en charge de TLS 1.1 et TLS 1.2 dans ces versions de Windows en utilisant un scénario similaire


Un utilitaire pour gérer les protocoles cryptographiques du système dans Windows Server

Il existe un utilitaire gratuit IIS Crypto, qui vous permet de gérer facilement les paramètres des protocoles cryptographiques dans Windows Server 2003, 2008 et 2012. Grâce à cet utilitaire, vous pouvez activer ou désactiver n'importe lequel des protocoles de cryptage en seulement deux clics.

Le programme dispose déjà de plusieurs modèles qui vous permettent d'appliquer rapidement des préréglages pour divers paramètres de sécurité.

Si vous rencontrez un problème d'échec d'accès à un site spécifique et qu'un message apparaît dans votre navigateur, il existe une explication raisonnable à cela. Les causes et les solutions au problème sont présentées dans cet article.

Protocole SSL TLS

Les utilisateurs des organismes budgétaires, et pas seulement budgétaires, dont les activités sont directement liées à la finance, en interaction avec les organismes financiers, par exemple le Ministère des Finances, le Trésor, etc., effectuent toutes leurs opérations exclusivement en utilisant le protocole sécurisé SSL. Fondamentalement, dans leur travail, ils utilisent le navigateur Internet Explorer. Dans certains cas - Mozilla Firefox.

Erreur SSL

La principale attention lors de la réalisation de ces opérations, et des travaux en général, est portée au système de sécurité : certificats, signatures électroniques. La version actuelle du logiciel CryptoPro est utilisée pour le fonctionnement. Concernant problèmes avec les protocoles SSL et TLS, Si Erreur SSL est apparu, il est fort probable qu'il n'y ait aucun support pour ce protocole.

Erreur TLS

Erreur TLS dans de nombreux cas, cela peut également indiquer un manque de prise en charge du protocole. Mais... voyons ce qui peut être fait dans ce cas.

Prise en charge des protocoles SSL et TLS

Ainsi, lorsque vous utilisez Microsoft Internet Explorer pour visiter un site Web sécurisé par SSL, la barre de titre affiche Assurez-vous que les protocoles SSL et TLS sont activés. Tout d'abord, vous devez activer la prise en charge du protocole TLS 1.0 dans Internet Explorer.

Si vous visitez un site Web qui exécute Internet Information Services 4.0 ou version ultérieure, la configuration d'Internet Explorer pour prendre en charge TLS 1.0 permet de sécuriser votre connexion. Bien entendu, à condition que le serveur Web distant que vous essayez d’utiliser prenne en charge ce protocole.

Pour ce faire dans le menu Service choisis une équipe options Internet.

Sur l'onglet En plus Au chapitre Sécurité, assurez-vous que les cases suivantes sont cochées :

  • Utilisez SSL 2.0
  • Utiliser SSL 3.0
  • Utiliser SSL 1.0

Cliquez sur le bouton Appliquer , et puis D'ACCORD . Redémarrez votre navigateur .

Après avoir activé TLS 1.0, essayez à nouveau de visiter le site Web.

Politique de sécurité du système

S'ils surviennent encore erreurs avec SSL et TLS Si vous ne pouvez toujours pas utiliser SSL, le serveur Web distant ne prend probablement pas en charge TLS 1.0. Dans ce cas, vous devez désactiver la stratégie système qui nécessite des algorithmes compatibles FIPS.

Pour ce faire, dans Panneaux de contrôle sélectionner Administration, puis double-cliquez Stratégie de sécurité locale.

Dans Paramètres de sécurité locaux, développez Politiques locales puis cliquez sur le bouton Les paramètres de sécurité.

Selon la politique sur le côté droit de la fenêtre, double-cliquez Cryptographie du système : utilisez des algorithmes conformes à la norme FIPS pour le chiffrement, le hachage et la signature. puis cliquez sur le bouton Désactivé.

Attention!

La modification prend effet lorsque la stratégie de sécurité locale est réappliquée. Allumez-le et redémarrez votre navigateur.

CryptoPro TLS SSL

Mettre à jour CryptoPro

L'une des options pour résoudre le problème consiste à mettre à jour CryptoPro et à configurer la ressource. Dans ce cas, il s’agit de paiements électroniques. Accédez à Autorité de certification. Sélectionnez Marchés électroniques comme ressource.

Après avoir démarré la configuration automatique du poste de travail, il ne reste plus que attendre la fin de la procédure, alors recharger le navigateur. Si vous devez saisir ou sélectionner une adresse de ressource, sélectionnez celle dont vous avez besoin. Vous devrez peut-être également redémarrer votre ordinateur une fois l'installation terminée.

Problème

Lorsque vous essayez de vous connecter au compte personnel du GIIS « Budget Electronique », un message d'erreur apparaît :

Cette page ne peut pas être affichée

Activez les protocoles TLS 1.0, TLS 1.1 et TLS 1.2 dans la section « Paramètres avancés » et essayez à nouveau de vous connecter à la page Web https://ssl.budgetplan.minfin.ru. Si vous ne parvenez pas à résoudre l'erreur, contactez l'administrateur de votre site Web.

Solution

Il est nécessaire de vérifier les paramètres du lieu de travail conformément au document.

La notice ne mentionne pas plusieurs nuances :

  1. Vous devez installer Plug-in du navigateur CryptoPro EDS et vérifiez son fonctionnement sur la page de démonstration.
  2. Il est nécessaire de désactiver le filtrage du protocole SSL/TLS dans les paramètres de l'antivirus ; autrement dit, pour le site que vous recherchez, vous devez faire une exception pour vérifier une connexion sécurisée. Il peut être appelé différemment selon les antivirus. Par exemple, vous devez accéder à Kaspersky Free "Paramètres> Avancés> Réseau> Ne pas vérifier les connexions sécurisées" .

Le protocole TLS crypte le trafic Internet de tous types, sécurisant ainsi la communication et les ventes en ligne. Nous parlerons du fonctionnement du protocole et de ce qui nous attend dans le futur.

De l'article, vous apprendrez :

Qu'est-ce que SSL

SSL ou Secure Sockets Layer était le nom original du protocole développé par Netscape au milieu des années 90. SSL 1.0 n'a jamais été accessible au public et la version 2.0 présentait de sérieux défauts. SSL 3.0, sorti en 1996, constituait une refonte complète et a donné le ton pour la prochaine phase de développement.

Qu'est-ce que TLS

Lorsque la version suivante du protocole a été publiée en 1999, l'Internet Engineering Task Force l'a standardisé et lui a donné un nouveau nom : Transport Layer Security, ou TLS. Comme l'indique la documentation TLS, « la différence entre ce protocole et SSL 3.0 n'est pas critique ». TLS et SSL forment une série continue de protocoles et sont souvent combinés sous le nom SSL/TLS.

Le protocole TLS crypte le trafic Internet de toute nature. Le type le plus courant est le trafic Web. Vous savez quand votre navigateur établit une connexion TLS - si le lien dans la barre d'adresse commence par "https".

TLS est également utilisé par d'autres applications, telles que les systèmes de messagerie et de téléconférence.

Comment fonctionne TLS

Le cryptage est nécessaire pour communiquer en ligne en toute sécurité. Si vos données ne sont pas cryptées, n’importe qui peut les analyser et lire des informations sensibles.

La méthode de cryptage la plus sécurisée est cryptage asymétrique. Cela nécessite 2 clés, 1 publique et 1 privée. Ce sont des fichiers contenant des informations, le plus souvent de très gros chiffres. Le mécanisme est complexe, mais en termes simples, vous pouvez utiliser une clé publique pour chiffrer des données, mais vous avez besoin d'une clé privée pour les déchiffrer. Les deux clés sont liées à l’aide d’une formule mathématique complexe et difficile à pirater.

Vous pouvez considérer la clé publique comme une information sur l'emplacement d'une boîte aux lettres verrouillée avec un trou, et la clé privée comme la clé qui ouvre la boîte aux lettres. Quiconque sait où se trouve la boîte peut y mettre une lettre. Mais pour le lire, une personne a besoin d’une clé pour ouvrir la boîte.

Le chiffrement asymétrique utilisant des calculs mathématiques complexes, il nécessite beaucoup de ressources informatiques. TLS résout ce problème en utilisant le chiffrement asymétrique uniquement au début d'une session pour chiffrer les communications entre le serveur et le client. Le serveur et le client doivent se mettre d'accord sur une clé de session unique, qu'ils utiliseront tous deux pour chiffrer les paquets de données.

Le processus par lequel le client et le serveur s'accordent sur une clé de session est appelé poignée de main. C'est le moment où 2 ordinateurs communicants se présentent.

Processus de prise de contact TLS

Le processus de négociation TLS est assez complexe. Les étapes ci-dessous décrivent le processus en général afin que vous puissiez comprendre son fonctionnement en général.

  1. Le client contacte le serveur et demande une connexion sécurisée. Le serveur répond avec une liste de chiffrements (un ensemble algorithmique permettant de créer des connexions chiffrées) qu'il sait utiliser. Le client compare la liste avec sa liste de chiffrements pris en charge, sélectionne celui qui convient et indique au serveur lequel ils utiliseront tous les deux.
  2. Le serveur fournit son certificat numérique, un document électronique signé par un tiers qui confirme l'authenticité du serveur. L'information la plus importante du certificat est la clé publique du chiffre. Le client confirme l'authenticité du certificat.
  3. À l'aide de la clé publique du serveur, le client et le serveur établissent une clé de session qu'ils utiliseront tous deux tout au long de la session pour chiffrer les communications. Il existe plusieurs méthodes pour cela. Le client peut utiliser la clé publique pour chiffrer un numéro arbitraire, qui est ensuite envoyé au serveur pour déchiffrer, et les deux parties utilisent ensuite ce numéro pour établir la clé de session.

Une clé de session n'est valable que pour une session continue. Si, pour une raison quelconque, la communication entre le client et le serveur est interrompue, une nouvelle prise de contact sera nécessaire pour établir une nouvelle clé de session.

Vulnérabilités des protocoles TLS 1.2 et TLS 1.2

TLS 1.2 est la version la plus courante du protocole. Cette version a installé la plateforme originale d'options de cryptage de session. Cependant, comme certaines versions précédentes du protocole, ce protocole permettait l'utilisation d'anciennes techniques de cryptage pour prendre en charge les ordinateurs plus anciens. Malheureusement, cela a conduit à des vulnérabilités dans la version 1.2, car ces anciens mécanismes de chiffrement sont devenus plus vulnérables.

Par exemple, TLS 1.2 est devenu particulièrement vulnérable aux attaques de falsification, dans lesquelles un attaquant intercepte des paquets de données en cours de session et les envoie après les avoir lus ou modifiés. Beaucoup de ces problèmes sont apparus au cours des deux dernières années, ce qui rend urgent la création d’une version mise à jour du protocole.

TLS1.3

La version 1.3 du protocole TLS, qui sera bientôt finalisée, résout de nombreux problèmes de vulnérabilités en abandonnant la prise en charge des systèmes de chiffrement existants.
La nouvelle version est compatible avec les versions précédentes : par exemple, la connexion reviendra à TLS 1.2 si l'une des parties ne peut pas utiliser un système de cryptage plus récent dans la liste des algorithmes de protocole autorisés de la version 1.3. Cependant, lors d'une attaque de falsification de connexion, si un pirate informatique tente de forcer de rétrograder la version du protocole à 1.2 au milieu d'une session, cette action sera remarquée et la connexion sera interrompue.

Comment activer la prise en charge de TLS 1.3 dans les navigateurs Google Chrome et Firefox

Firefox et Chrome prennent en charge TLS 1.3, mais cette version n'est pas activée par défaut. La raison en est qu’il n’existe actuellement qu’à l’état de projet.

Mozilla Firefox

Tapez about:config dans la barre d'adresse de votre navigateur. Confirmez que vous comprenez les risques.

  1. L'éditeur de paramètres Firefox s'ouvrira.
  2. Entrez security.tls.version.max dans la recherche
  3. Changez la valeur à 4 en double-cliquant sur la valeur actuelle.



Google Chrome

  1. Tapez chrome://flags/ dans la barre d'adresse de votre navigateur pour ouvrir le panneau des expériences.
  2. Rechercher l'option # variante tls13
  3. Cliquez sur le menu et réglez-le sur Activé (Brouillon).
  4. Redémarrez votre navigateur.

Comment vérifier que votre navigateur utilise la version 1.2

Nous vous rappelons que la version 1.3 n'est pas encore d'usage public. Si tu ne veux pas
utilisez le brouillon, vous pouvez rester sur la version 1.2.

Pour vérifier que votre navigateur utilise la version 1.2, suivez les mêmes étapes que dans les instructions ci-dessus et assurez-vous que :

  • Pour Firefox, la valeur security.tls.version.max est 3. Si elle est inférieure, changez-la en 3 en double-cliquant sur la valeur actuelle.
  • Pour Google Chrome : cliquez sur le menu du navigateur - sélectionnez Paramètres- sélectionner Afficher les paramètres avancés- descendre dans la rubrique Système et cliquez sur Ouvrez les paramètres du proxy…:

  • Dans la fenêtre qui s'ouvre, cliquez sur l'onglet Sécurité et assurez-vous que le champ Utiliser TLS 1.2 est coché. Sinon, vérifiez-le et cliquez sur OK :


Les modifications prendront effet après le redémarrage de votre ordinateur.

Un outil rapide pour vérifier la version du protocole SSL/TLS de votre navigateur

Accédez à l'outil de vérification de version de protocole en ligne de SSL Labs. La page affichera en temps réel la version du protocole utilisée et si le navigateur est sensible à des vulnérabilités.

Sources: traduction