Jak włączyć protokół tls 1.0. Ochrona systemu Windows przed lukami w zabezpieczeniach protokołu SSL v3. Narzędzie do zarządzania systemowymi protokołami kryptograficznymi w systemie Windows Server

TLS jest następcą SSL, protokołu zapewniającego niezawodne i bezpieczne połączenie pomiędzy węzłami w Internecie. Jest używany przy opracowywaniu różnych klientów, w tym przeglądarek i aplikacji klient-serwer. Co to jest TLS w przeglądarce Internet Explorer?

Trochę o technologii

Wszystkie przedsiębiorstwa i organizacje zajmujące się transakcjami finansowymi korzystają z tego protokołu, aby zapobiec podsłuchiwaniu pakietów i nieautoryzowanemu dostępowi intruzów. Technologia ta ma na celu ochronę ważnych połączeń przed atakami intruzów.

Zasadniczo ich organizacje korzystają z wbudowanej przeglądarki. W niektórych przypadkach - Mozilla Firefox.

Włączanie lub wyłączanie protokołu

Czasami dostęp do niektórych witryn jest niemożliwy, ponieważ obsługa technologii SSL i TLS jest wyłączona. W przeglądarce pojawi się powiadomienie. Jak więc włączyć protokoły, aby móc nadal cieszyć się bezpieczną komunikacją?
1. Otwórz Panel sterowania poprzez Start. Inny sposób: otwórz Eksploratora i kliknij ikonę koła zębatego w prawym górnym rogu.

2. Przejdź do sekcji „Opcje przeglądarki” i otwórz blok „Zaawansowane”.

3. Zaznacz pola obok „Użyj TLS 1.1 i TLS 1.2”.

4. Kliknij OK, aby zapisać zmiany. Jeśli chcesz wyłączyć protokoły, co jest zdecydowanie nie zalecane, szczególnie jeśli korzystasz z bankowości internetowej, odznacz te same pozycje.

Jaka jest różnica między 1.0 a 1.1 i 1.2? 1.1 jest jedynie nieco ulepszoną wersją TLS 1.0, która częściowo odziedziczyła jego wady. 1.2 to najbezpieczniejsza wersja protokołu. Z drugiej strony nie wszystkie witryny można otwierać przy włączonej tej wersji protokołu.

Jak wiadomo, komunikator Skype jest bezpośrednio podłączony do przeglądarki Internet Explorer jako komponent systemu Windows. Jeśli w ustawieniach nie masz zaznaczonego protokołu TLS, mogą pojawić się problemy ze Skype. Program po prostu nie będzie mógł połączyć się z serwerem.

Jeśli obsługa TLS jest wyłączona w ustawieniach przeglądarki Internet Explorer, wszystkie funkcje programu związane z siecią nie będą działać. Co więcej, od tej technologii zależy bezpieczeństwo Twoich danych. Nie zaniedbuj tego, jeśli dokonujesz transakcji finansowych w tej przeglądarce (zakupy w sklepach internetowych, przelewanie pieniędzy za pośrednictwem bankowości internetowej lub e-portfela itp.).

W październiku inżynierowie Google opublikowali informację o krytycznej luce w zabezpieczeniach Wersja protokołu SSL 3.0, który otrzymał zabawną nazwę PUDEL(Dopełnienie Oracle przy obniżonym szyfrowaniu lub pudel 🙂). Luka umożliwia atakującemu uzyskanie dostępu do informacji zaszyfrowanych protokołem SSLv3 przy wykorzystaniu ataku „man in the Middle”. Na tę lukę podatne są zarówno serwery, jak i klienci, którzy mogą łączyć się za pomocą protokołu SSLv3.

W sumie sytuacja nie jest zaskakująca, bo... protokół SSL 3.0, wprowadzony po raz pierwszy w 1996 r., ma już 18 lat i jest już moralnie przestarzały. W większości praktycznych zadań został on już zastąpiony protokołem kryptograficznym TLS(wersje 1.0, 1.1 i 1.2).

Aby zabezpieczyć się przed podatnością POODLE, zaleca się pełną ochronę wyłącz obsługę SSLv3 zarówno po stronie klienta, jak i serwera i odtąd używaj tylko protokołu TLS. W przypadku użytkowników starszego oprogramowania (np. korzystających z IIS 6 w systemie Windows XP) oznacza to, że nie będą już mogli przeglądać stron HTTPS ani korzystać z innych usług SSL. Jeśli obsługa protokołu SSLv3 nie zostanie całkowicie wyłączona i domyślnie oferowane będzie silniejsze szyfrowanie, luka w zabezpieczeniach POODLE będzie nadal występować. Wynika to ze specyfiki wyboru i uzgodnienia protokołu szyfrowania między klientem a serwerem, ponieważ W przypadku wykrycia problemów w korzystaniu z protokołu TLS następuje automatyczne przejście na protokół SSL.

Zalecamy sprawdzenie wszystkich usług, które mogą korzystać z protokołu SSL/TLS w dowolnej formie i wyłączenie obsługi SSLv3. Możesz sprawdzić swój serwer WWW pod kątem luk w zabezpieczeniach, korzystając z testu online, na przykład tutaj: http://poodlebleed.com/.

Notatka. Należy jasno zrozumieć, że wyłączenie protokołu SSL v3 na poziomie całego systemu będzie działać tylko w przypadku oprogramowania korzystającego z systemowych interfejsów API do szyfrowania SSL (Internet Explorer, IIS, SQL NLA, RRAS itp.). Programy korzystające z własnych narzędzi kryptograficznych (Firefox, Opera itp.) wymagają indywidualnej aktualizacji i konfiguracji.

Wyłączanie protokołu SSLv3 w systemie Windows na poziomie systemu

W systemie operacyjnym Windows obsługa protokołów SSL/TLS jest zarządzana poprzez rejestr.

W tym przykładzie pokażemy, jak całkowicie wyłączyć SSLv3 na poziomie systemu (zarówno klienta, jak i serwera) w Windows Server 2012 R2:

Wyłącz SSLv2 (Windows 2008 / Server i starsze)

Systemy operacyjne starsze niż Windows 7 / Windows Server 2008 R2 domyślnie używają jeszcze mniej bezpiecznego i przestarzałego protokołu SSL wersja 2, które również powinno zostać wyłączone ze względów bezpieczeństwa (w nowszych wersjach systemu Windows protokół SSLv2 na poziomie klienta jest domyślnie wyłączony i używane są tylko SSLv3 i TLS1.0). Aby wyłączyć SSLv2, należy powtórzyć opisaną powyżej procedurę, tylko dla klucza rejestru SSL 2.0.

W systemie Windows 2008/2012 protokół SSLv2 jest domyślnie wyłączony na poziomie klienta.

Włącz TLS 1.1 i TLS 1.2 w systemie Windows Server 2008 R2 i nowszych

Windows Server 2008 R2 / Windows 7 i nowsze obsługują algorytmy szyfrowania TLS 1.1 i TLS 1.2, ale te protokoły są domyślnie wyłączone. Możesz włączyć obsługę protokołów TLS 1.1 i TLS 1.2 w tych wersjach systemu Windows, korzystając z podobnego scenariusza


Narzędzie do zarządzania systemowymi protokołami kryptograficznymi w systemie Windows Server

Istnieje bezpłatne narzędzie IIS Crypto, które umożliwia wygodne zarządzanie parametrami protokołów kryptograficznych w systemie Windows Server 2003, 2008 i 2012. Za pomocą tego narzędzia możesz włączyć lub wyłączyć dowolny z protokołów szyfrowania za pomocą zaledwie dwóch kliknięć.

W programie dostępnych jest już kilka szablonów, które umożliwiają szybkie zastosowanie presetów dla różnych ustawień zabezpieczeń.

Jeśli napotykasz problem polegający na tym, że nie można uzyskać dostępu do określonej witryny i w przeglądarce pojawia się komunikat, istnieje rozsądne wyjaśnienie tej sytuacji. Przyczyny i rozwiązania problemu podano w tym artykule.

Protokół SSL TLS

Użytkownicy organizacji budżetowych i nie tylko budżetowych, których działalność jest bezpośrednio związana z finansami, w interakcji z organizacjami finansowymi, na przykład Ministerstwem Finansów, Skarbem Państwa itp., Dokonują wszystkich swoich operacji wyłącznie przy użyciu bezpiecznego protokołu SSL. Zasadniczo w swojej pracy korzystają z przeglądarki Internet Explorer. W niektórych przypadkach - Mozilla Firefox.

Błąd protokołu SSL

Główną uwagę przy wykonywaniu tych operacji i pracy w ogóle poświęca się systemowi bezpieczeństwa: certyfikatom, podpisom elektronicznym. Do obsługi używana jest aktualna wersja oprogramowania CryptoPro. Dotyczący problemy z protokołami SSL i TLS, Jeśli Błąd protokołu SSL pojawił się, najprawdopodobniej nie ma obsługi tego protokołu.

Błąd TLS

Błąd TLS w wielu przypadkach może to również wskazywać na brak obsługi protokołu. Ale… zobaczmy, co da się zrobić w tym przypadku.

Obsługa protokołów SSL i TLS

Tak więc, gdy używasz przeglądarki Microsoft Internet Explorer do odwiedzania witryny internetowej zabezpieczonej protokołem SSL, wyświetlany jest pasek tytułu Upewnij się, że protokoły ssl i tls są włączone. Przede wszystkim należy włączyć obsługę protokołu TLS 1.0 w przeglądarce Internet Explorer.

Jeśli odwiedzasz witrynę internetową korzystającą z Internetowych usług informacyjnych w wersji 4.0 lub nowszej, skonfigurowanie przeglądarki Internet Explorer do obsługi protokołu TLS 1.0 pomoże zabezpieczyć połączenie. Oczywiście pod warunkiem, że zdalny serwer WWW, którego próbujesz użyć, obsługuje ten protokół.

Aby to zrobić w menu Praca Wybierz drużynę opcje internetowe.

Na karcie Dodatkowo W rozdziale Bezpieczeństwo, upewnij się, że zaznaczone są następujące pola wyboru:

  • Użyj protokołu SSL 2.0
  • Użyj protokołu SSL 3.0
  • Użyj protokołu SSL 1.0

Naciśnij przycisk Stosować , i wtedy OK . Uruchom ponownie przeglądarkę .

Po włączeniu protokołu TLS 1.0 spróbuj ponownie odwiedzić witrynę.

Polityka bezpieczeństwa systemu

Jeśli nadal występują błędy z SSL i TLS Jeśli nadal nie możesz używać protokołu SSL, zdalny serwer WWW prawdopodobnie nie obsługuje protokołu TLS 1.0. W takim przypadku należy wyłączyć politykę systemową wymagającą algorytmów zgodnych z FIPS.

Aby to zrobić, w Panel kontrolny wybierać Administracja, a następnie kliknij dwukrotnie Lokalna Polityka Bezpieczeństwa.

W Ustawieniach zabezpieczeń lokalnych rozwiń Polityka lokalna a następnie kliknij przycisk Ustawienia bezpieczeństwa.

Zgodnie z polityką znajdującą się po prawej stronie okna kliknij dwukrotnie Kryptografia systemowa: używaj algorytmów zgodnych z FIPS do szyfrowania, mieszania i podpisywania a następnie kliknij przycisk Wyłączony.

Uwaga!

Zmiana zacznie obowiązywać po ponownym zastosowaniu lokalnych zasad bezpieczeństwa. Włącz ją i uruchom ponownie przeglądarkę.

CryptoPro TLS SSL

Zaktualizuj CryptoPro

Jedną z opcji rozwiązania problemu jest aktualizacja CryptoPro, a także konfiguracja zasobu. W tym przypadku działa to z płatnościami elektronicznymi. Przejdź do Urzędu certyfikacji. Jako zasób wybierz opcję Rynki elektroniczne.

Po rozpoczęciu automatycznej konfiguracji miejsca pracy pozostaje tylko poczekaj na zakończenie procedury, Następnie załaduj ponownie przeglądarkę. Jeśli chcesz wprowadzić lub wybrać adres zasobu, wybierz ten, którego potrzebujesz. Po zakończeniu konfiguracji może być konieczne ponowne uruchomienie komputera.

Problem

Podczas próby zalogowania się na konto osobiste GIIS „Elektroniczny Budżet” pojawia się komunikat o błędzie:

Ta strona nie może być wyświetlona

Włącz protokoły TLS 1.0, TLS 1.1 i TLS 1.2 w sekcji „Ustawienia zaawansowane” i spróbuj ponownie połączyć się ze stroną internetową https://ssl.budgetplan.minfin.ru. Jeśli nie możesz rozwiązać problemu, skontaktuj się z administratorem witryny.

Rozwiązanie

Należy sprawdzić ustawienia stanowiska pracy zgodnie z dokumentem.

Instrukcje nie wspominają o kilku niuansach:

  1. Musisz zainstalować Wtyczka do przeglądarki CryptoPro EDS i sprawdź jego działanie na stronie demonstracyjnej.
  2. Konieczne jest wyłączenie w ustawieniach antywirusa filtrowania protokołu SSL/TLS, innymi słowy, dla szukanej witryny należy zrobić wyjątek w celu sprawdzenia bezpiecznego połączenia. Może być różnie nazywany w różnych programach antywirusowych. Na przykład musisz przejść do Kaspersky Free „Ustawienia>Zaawansowane>Sieć>Nie sprawdzaj bezpiecznych połączeń” .

Protokół TLS szyfruje każdy rodzaj ruchu internetowego, dzięki czemu komunikacja i sprzedaż online są bezpieczne. Porozmawiamy o tym, jak działa protokół i co nas czeka w przyszłości.

Z artykułu dowiesz się:

Co to jest SSL

SSL, czyli Secure Sockets Layer, to pierwotna nazwa protokołu opracowanego przez firmę Netscape w połowie lat 90-tych. SSL 1.0 nigdy nie był publicznie dostępny, a wersja 2.0 miała poważne wady. SSL 3.0, wydany w 1996 r., był całkowitą przeróbką i nadał ton kolejnej fazie rozwoju.

Co to jest TLS

Kiedy w 1999 r. opublikowano kolejną wersję protokołu, grupa zadaniowa ds. inżynierii internetowej ujednoliciła ją i nadała nową nazwę: Transport Layer Security, w skrócie TLS. Jak stwierdza dokumentacja TLS, „różnica między tym protokołem a SSL 3.0 nie jest krytyczna”. TLS i SSL tworzą ciągłą serię protokołów i często są łączone pod nazwą SSL/TLS.

Protokół TLS szyfruje wszelkiego rodzaju ruch internetowy. Najpopularniejszym typem jest ruch sieciowy. Wiesz, kiedy Twoja przeglądarka nawiązuje połączenie TLS – jeśli link w pasku adresu zaczyna się od „https”.

TLS jest również używany przez inne aplikacje, takie jak systemy pocztowe i telekonferencyjne.

Jak działa TLS

Szyfrowanie jest niezbędne do bezpiecznej komunikacji online. Jeśli Twoje dane nie są zaszyfrowane, każdy może je przeanalizować i odczytać poufne informacje.

Najbezpieczniejszą metodą szyfrowania jest szyfrowanie asymetryczne. Wymaga to 2 kluczy, 1 publicznego i 1 prywatnego. Są to pliki z informacjami, najczęściej bardzo dużymi liczbami. Mechanizm jest złożony, ale mówiąc najprościej, do szyfrowania danych można użyć klucza publicznego, ale do ich odszyfrowania potrzebny jest klucz prywatny. Obydwa klucze są połączone za pomocą złożonej formuły matematycznej, którą trudno złamać.

Klucz publiczny można traktować jako informację o lokalizacji zamkniętej skrzynki pocztowej z dziurą, a klucz prywatny jako klucz otwierający skrzynkę pocztową. Każdy, kto wie, gdzie jest skrzynka, może wrzucić tam list. Ale żeby to przeczytać, trzeba mieć klucz do otwarcia pudełka.

Ponieważ szyfrowanie asymetryczne wykorzystuje złożone obliczenia matematyczne, wymaga dużych zasobów obliczeniowych. TLS rozwiązuje ten problem, stosując szyfrowanie asymetryczne tylko na początku sesji w celu szyfrowania komunikacji pomiędzy serwerem a klientem. Serwer i klient muszą uzgodnić jeden klucz sesyjny, którego będą używać do szyfrowania pakietów danych.

Nazywa się proces, w wyniku którego klient i serwer uzgadniają klucz sesji uścisk dłoni. Jest to moment, w którym 2 komunikujące się komputery przedstawiają się sobie nawzajem.

Proces uzgadniania TLS

Proces uzgadniania TLS jest dość złożony. Poniższe kroki ogólnie opisują proces, dzięki czemu można ogólnie zrozumieć, jak to działa.

  1. Klient kontaktuje się z serwerem i żąda bezpiecznego połączenia. Serwer odpowiada listą szyfrów – zestawem algorytmów do tworzenia szyfrowanych połączeń – których wie, jak używać. Klient porównuje tę listę z listą obsługiwanych szyfrów, wybiera odpowiedni i informuje serwer, którego będą używać obaj.
  2. Serwer udostępnia swój certyfikat cyfrowy - dokument elektroniczny podpisany przez osobę trzecią, potwierdzający autentyczność serwera. Najważniejszą informacją zawartą w certyfikacie jest klucz publiczny szyfru. Klient potwierdza autentyczność certyfikatu.
  3. Korzystając z klucza publicznego serwera, klient i serwer ustalają klucz sesji, którego będą używać podczas całej sesji do szyfrowania komunikacji. Jest na to kilka metod. Klient może użyć klucza publicznego do zaszyfrowania dowolnego numeru, który następnie jest wysyłany do serwera w celu odszyfrowania, a następnie obie strony wykorzystują ten numer do ustalenia klucza sesji.

Klucz sesyjny jest ważny tylko przez jedną ciągłą sesję. Jeśli z jakiegoś powodu komunikacja pomiędzy klientem a serwerem zostanie przerwana, konieczne będzie ponowne uzgadnianie w celu ustalenia nowego klucza sesji.

Luki w protokołach TLS 1.2 i TLS 1.2

TLS 1.2 to najpopularniejsza wersja protokołu. W tej wersji zainstalowano oryginalną platformę opcji szyfrowania sesji. Jednakże, podobnie jak niektóre poprzednie wersje protokołu, protokół ten umożliwiał stosowanie starszych technik szyfrowania do obsługi starszych komputerów. Niestety doprowadziło to do luk w zabezpieczeniach wersji 1.2, ponieważ starsze mechanizmy szyfrowania stały się bardziej podatne na ataki.

Na przykład protokół TLS 1.2 stał się szczególnie podatny na ataki manipulacyjne, podczas których osoba atakująca przechwytuje pakiety danych w trakcie sesji i wysyła je po ich odczytaniu lub zmodyfikowaniu. Wiele z tych problemów ujawniło się w ciągu ostatnich 2 lat, co spowodowało pilną potrzebę stworzenia zaktualizowanej wersji protokołu.

TLS 1.3

Wersja 1.3 protokołu TLS, która wkrótce zostanie ukończona, rozwiązuje wiele problemów z lukami w zabezpieczeniach, rezygnując ze wsparcia dla starszych systemów szyfrowania.
Nowa wersja jest kompatybilna z poprzednimi wersjami: na przykład połączenie zostanie przywrócone do TLS 1.2, jeśli jedna ze stron nie będzie mogła zastosować nowszego systemu szyfrowania na liście dozwolonych algorytmów protokołu wersji 1.3. Jeśli jednak w przypadku ataku polegającego na manipulacji połączeniem haker w trakcie sesji na siłę spróbuje obniżyć wersję protokołu do wersji 1.2, działanie to zostanie odnotowane i połączenie zostanie zakończone.

Jak włączyć obsługę TLS 1.3 w przeglądarkach Google Chrome i Firefox

Firefox i Chrome obsługują TLS 1.3, ale ta wersja nie jest domyślnie włączona. Powodem jest to, że obecnie istnieje on jedynie w formie roboczej.

Mozilla Firefox

Wpisz about:config w pasku adresu przeglądarki. Potwierdź, że rozumiesz ryzyko.

  1. Otworzy się Edytor ustawień Firefoksa.
  2. Wpisz security.tls.version.max w wyszukiwaniu
  3. Zmień wartość na 4, klikając dwukrotnie bieżącą wartość.



GoogleChrome

  1. Wpisz chrome://flags/ w pasku adresu przeglądarki, aby otworzyć panel eksperymentów.
  2. Znajdź opcję #tls13-variant
  3. Kliknij menu i ustaw je na Włączone (wersja robocza).
  4. Uruchom ponownie przeglądarkę.

Jak sprawdzić, czy Twoja przeglądarka korzysta z wersji 1.2

Przypominamy, że wersja 1.3 nie jest jeszcze do użytku publicznego. Jeśli nie chcesz
użyj wersji roboczej, możesz pozostać przy wersji 1.2.

Aby sprawdzić, czy Twoja przeglądarka korzysta z wersji 1.2, wykonaj te same kroki, co w instrukcjach powyżej i upewnij się, że:

  • W przeglądarce Firefox wartość security.tls.version.max wynosi 3. Jeśli jest niższa, zmień ją na 3, klikając dwukrotnie bieżącą wartość.
  • W przeglądarce Google Chrome: kliknij menu przeglądarki - wybierz Ustawienia- wybierać Pokaż ustawienia zaawansowane- zejdź do sekcji System i kliknij Otwórz ustawienia proxy…:

  • W oknie, które zostanie otwarte, kliknij zakładkę Bezpieczeństwo i upewnij się, że pole Użyj TLS 1.2 jest zaznaczone. Jeśli nie, sprawdź to i kliknij OK:


Zmiany zaczną obowiązywać po ponownym uruchomieniu komputera.

Szybkie narzędzie do sprawdzenia wersji protokołu SSL/TLS Twojej przeglądarki

Przejdź do internetowego narzędzia sprawdzania wersji protokołu SSL Labs. Strona pokaże w czasie rzeczywistym używaną wersję protokołu oraz to, czy przeglądarka jest podatna na jakieś luki.

Źródła: tłumaczenie