วิธีเปิดใช้งานโปรโตคอล tls 1.0 การปกป้อง Windows จากช่องโหว่ SSL v3 ยูทิลิตี้สำหรับการจัดการโปรโตคอลการเข้ารหัสระบบใน Windows Server

TLS เป็นผู้สืบทอดต่อจาก SSL ซึ่งเป็นโปรโตคอลที่ให้การเชื่อมต่อที่เชื่อถือได้และปลอดภัยระหว่างโหนดบนอินเทอร์เน็ต มันถูกใช้ในการพัฒนาไคลเอนต์ต่าง ๆ รวมถึงเบราว์เซอร์และแอปพลิเคชันไคลเอนต์-เซิร์ฟเวอร์ TLS ใน Internet Explorer คืออะไร

เล็กน้อยเกี่ยวกับเทคโนโลยี

องค์กรและองค์กรทั้งหมดที่มีส่วนร่วมในธุรกรรมทางการเงินใช้โปรโตคอลนี้เพื่อป้องกันการดักฟังแพ็คเก็ตและการเข้าถึงโดยไม่ได้รับอนุญาตจากผู้บุกรุก เทคโนโลยีนี้ได้รับการออกแบบมาเพื่อปกป้องการเชื่อมต่อที่สำคัญจากการโจมตีของผู้บุกรุก

โดยพื้นฐานแล้ว องค์กรของพวกเขาจะใช้เบราว์เซอร์ในตัว ในบางกรณี - Mozilla Firefox

การเปิดใช้งานหรือปิดใช้งานโปรโตคอล

บางครั้งไม่สามารถเข้าถึงบางไซต์ได้ เนื่องจากมีการปิดใช้งานการรองรับเทคโนโลยี SSL และ TLS การแจ้งเตือนปรากฏขึ้นในเบราว์เซอร์ ดังนั้น คุณจะเปิดใช้งานโปรโตคอลได้อย่างไรเพื่อให้คุณสามารถเพลิดเพลินกับการสื่อสารที่ปลอดภัยต่อไปได้?
1.เปิดแผงควบคุมผ่านทางเริ่ม อีกวิธีหนึ่ง: เปิด Explorer แล้วคลิกไอคอนรูปเฟืองที่มุมขวาบน

2. ไปที่ส่วน "ตัวเลือกเบราว์เซอร์" และเปิดบล็อก "ขั้นสูง"

3. ทำเครื่องหมายที่ช่องถัดจาก “ใช้ TLS 1.1 และ TLS 1.2”

4. คลิก ตกลง เพื่อบันทึกการเปลี่ยนแปลงของคุณ หากคุณต้องการปิดการใช้งานโปรโตคอล ซึ่งไม่แนะนำเป็นอย่างยิ่ง โดยเฉพาะอย่างยิ่งหากคุณใช้ธนาคารออนไลน์ ให้ยกเลิกการเลือกรายการเดียวกัน

อะไรคือความแตกต่างระหว่าง 1.0 และ 1.1 และ 1.2? 1.1 เป็นเพียงเวอร์ชันที่ได้รับการปรับปรุงเล็กน้อยของ TLS 1.0 ซึ่งสืบทอดข้อบกพร่องบางส่วนมา 1.2 เป็นเวอร์ชันที่ปลอดภัยที่สุดของโปรโตคอล ในทางกลับกัน ไม่ใช่ทุกไซต์ที่สามารถเปิดโดยเปิดใช้งานเวอร์ชันโปรโตคอลนี้ได้

ดังที่คุณทราบ Skype Messenger เชื่อมต่อโดยตรงกับ Internet Explorer เป็นส่วนประกอบของ Windows หากคุณไม่ได้ทำเครื่องหมายโปรโตคอล TLS ในการตั้งค่า ปัญหาอาจเกิดขึ้นกับ Skype โปรแกรมจะไม่สามารถเชื่อมต่อกับเซิร์ฟเวอร์ได้

หากปิดใช้งานการสนับสนุน TLS ในการตั้งค่า Internet Explorer ฟังก์ชันที่เกี่ยวข้องกับเครือข่ายทั้งหมดของโปรแกรมจะไม่ทำงาน นอกจากนี้ความปลอดภัยของข้อมูลของคุณยังขึ้นอยู่กับเทคโนโลยีนี้ อย่าละเลยหากคุณทำธุรกรรมทางการเงินในเบราว์เซอร์นี้ (การซื้อในร้านค้าออนไลน์ การโอนเงินผ่านธนาคารออนไลน์หรือกระเป๋าเงินอิเล็กทรอนิกส์ ฯลฯ)

ในเดือนตุลาคม วิศวกรของ Google เผยแพร่ข้อมูลเกี่ยวกับช่องโหว่ที่สำคัญใน SSL เวอร์ชัน 3.0ซึ่งได้รับชื่อตลก พุดเดิ้ล(การเสริม Oracle บนการเข้ารหัสแบบดั้งเดิมที่ดาวน์เกรดหรือพุดเดิ้ล 🙂) ช่องโหว่นี้ทำให้ผู้โจมตีสามารถเข้าถึงข้อมูลที่เข้ารหัสด้วยโปรโตคอล SSLv3 โดยใช้การโจมตีแบบ "คนตรงกลาง" ทั้งเซิร์ฟเวอร์และไคลเอนต์ที่สามารถเชื่อมต่อโดยใช้โปรโตคอล SSLv3 มีความเสี่ยงต่อช่องโหว่

โดยทั่วไปสถานการณ์ไม่น่าแปลกใจเพราะ... โปรโตคอล เอสเอสแอล 3.0เปิดตัวครั้งแรกในปี 1996 มีอายุ 18 ปีแล้ว และล้าสมัยด้านศีลธรรมแล้ว ในทางปฏิบัติส่วนใหญ่จะถูกแทนที่ด้วยโปรโตคอลการเข้ารหัสแล้ว ทลส(เวอร์ชัน 1.0, 1.1 และ 1.2)

เพื่อป้องกันช่องโหว่ของ POODLE แนะนำให้ทำอย่างเต็มที่ ปิดการใช้งานการสนับสนุน SSLv3 ทั้งฝั่งไคลเอ็นต์และฝั่งเซิร์ฟเวอร์และต่อจากนี้ไปให้ใช้เฉพาะ TLS เท่านั้น สำหรับผู้ใช้ซอฟต์แวร์รุ่นเก่า (เช่น ผู้ใช้ IIS 6 บน Windows XP) หมายความว่าพวกเขาจะไม่สามารถดูหน้า HTTPS หรือใช้บริการ SSL อื่น ๆ ได้อีกต่อไป หากไม่ได้ปิดการรองรับ SSLv3 อย่างสมบูรณ์และมีการเข้ารหัสที่รัดกุมขึ้นตามค่าเริ่มต้น ช่องโหว่ POODLE จะยังคงอยู่ นี่เป็นเพราะลักษณะเฉพาะของการเลือกและยอมรับโปรโตคอลการเข้ารหัสระหว่างไคลเอนต์และเซิร์ฟเวอร์เพราะว่า หากตรวจพบปัญหาในการใช้ TLS การเปลี่ยนไปใช้ SSL โดยอัตโนมัติจะเกิดขึ้น

เราขอแนะนำให้คุณตรวจสอบบริการทั้งหมดของคุณที่อาจใช้ SSL/TLS ในรูปแบบใดๆ และปิดใช้งานการสนับสนุน SSLv3 คุณสามารถตรวจสอบเว็บเซิร์ฟเวอร์ของคุณเพื่อหาช่องโหว่โดยใช้การทดสอบออนไลน์ เช่น ที่นี่: http://poodlebleed.com/

บันทึก- ต้องเข้าใจอย่างชัดเจนว่าการปิดใช้งาน SSL v3 ในระดับทั้งระบบจะใช้ได้กับซอฟต์แวร์ที่ใช้ API ระบบสำหรับการเข้ารหัส SSL เท่านั้น (Internet Explorer, IIS, SQL NLA, RRAS ฯลฯ ) โปรแกรมที่ใช้เครื่องมือเข้ารหัสของตัวเอง (Firefox, Opera ฯลฯ) จำเป็นต้องได้รับการอัปเดตและกำหนดค่าแยกกัน

ปิดการใช้งาน SSLv3 ใน Windows ในระดับระบบ

ในระบบปฏิบัติการ Windows การรองรับโปรโตคอล SSL/TLS จะได้รับการจัดการผ่านรีจิสทรี

ในตัวอย่างนี้ เราจะแสดงวิธีปิดการใช้งาน SSLv3 อย่างสมบูรณ์ในระดับระบบ (ทั้งระดับไคลเอนต์และเซิร์ฟเวอร์) ใน Windows Server 2012 R2:

ปิดการใช้งาน SSLv2 (Windows 2008 / Server และต่ำกว่า)

ระบบปฏิบัติการก่อน Windows 7 / Windows Server 2008 R2 จะใช้โปรโตคอลที่มีความปลอดภัยน้อยกว่าและล้าสมัยตามค่าเริ่มต้น เอสเอสแอล เวอร์ชัน 2ซึ่งควรปิดใช้งานด้วยเหตุผลด้านความปลอดภัย (ใน Windows เวอร์ชันล่าสุด SSLv2 ระดับไคลเอ็นต์จะถูกปิดใช้งานโดยค่าเริ่มต้น และใช้เฉพาะ SSLv3 และ TLS1.0 เท่านั้น) หากต้องการปิดใช้งาน SSLv2 คุณต้องทำซ้ำขั้นตอนที่อธิบายไว้ข้างต้น เฉพาะกับคีย์รีจิสทรีเท่านั้น เอสเอสแอล 2.0.

บน Windows 2008/2012 SSLv2 จะถูกปิดใช้งานในระดับไคลเอนต์ตามค่าเริ่มต้น

เปิดใช้งาน TLS 1.1 และ TLS 1.2 ใน Windows Server 2008 R2 และสูงกว่า

Windows Server 2008 R2 / Windows 7 และสูงกว่ารองรับอัลกอริธึมการเข้ารหัส TLS 1.1 และ TLS 1.2 แต่โปรโตคอลเหล่านี้ถูกปิดใช้งานตามค่าเริ่มต้น คุณสามารถเปิดใช้งานการสนับสนุน TLS 1.1 และ TLS 1.2 ใน Windows เวอร์ชันเหล่านี้ได้โดยใช้สถานการณ์ที่คล้ายกัน


ยูทิลิตี้สำหรับจัดการโปรโตคอลการเข้ารหัสระบบใน Windows Server

มียูทิลิตี้ IIS Crypto ฟรีซึ่งช่วยให้คุณจัดการพารามิเตอร์ของโปรโตคอลการเข้ารหัสใน Windows Server 2003, 2008 และ 2012 ได้อย่างสะดวก การใช้ยูทิลิตี้นี้ทำให้คุณสามารถเปิดหรือปิดใช้งานโปรโตคอลการเข้ารหัสใด ๆ ได้ด้วยการคลิกเพียงสองครั้ง

โปรแกรมมีเทมเพลตหลายแบบที่ให้คุณใช้การตั้งค่าล่วงหน้าสำหรับการตั้งค่าความปลอดภัยต่างๆ ได้อย่างรวดเร็ว

หากคุณประสบปัญหาในการเข้าถึงเว็บไซต์บางแห่งล้มเหลวและมีข้อความปรากฏขึ้นในเบราว์เซอร์ของคุณ มีคำอธิบายที่สมเหตุสมผลสำหรับเรื่องนี้ สาเหตุและวิธีแก้ไขปัญหามีระบุไว้ในบทความนี้

โปรโตคอล SSL TLS

ผู้ใช้ขององค์กรงบประมาณและไม่เพียงแต่องค์กรงบประมาณซึ่งมีกิจกรรมที่เกี่ยวข้องโดยตรงกับการเงิน โดยโต้ตอบกับองค์กรทางการเงิน เช่น กระทรวงการคลัง กระทรวงการคลัง ฯลฯ ดำเนินการทั้งหมดโดยใช้โปรโตคอล SSL ที่ปลอดภัยโดยเฉพาะ โดยพื้นฐานแล้วในงานของพวกเขาพวกเขาใช้เบราว์เซอร์ Internet Explorer ในบางกรณี - Mozilla Firefox

ข้อผิดพลาด SSL

ความสนใจหลักเมื่อดำเนินการเหล่านี้และงานโดยทั่วไปจะจ่ายให้กับระบบรักษาความปลอดภัย: ใบรับรอง, ลายเซ็นอิเล็กทรอนิกส์ ซอฟต์แวร์ CryptoPro เวอร์ชันปัจจุบันใช้สำหรับการดำเนินการ เกี่ยวกับ ปัญหาเกี่ยวกับโปรโตคอล SSL และ TLS, ถ้า ข้อผิดพลาด SSLปรากฏว่ามีแนวโน้มว่าไม่มีการรองรับโปรโตคอลนี้

ข้อผิดพลาด TLS

ข้อผิดพลาด TLSในหลายกรณีอาจบ่งบอกถึงการขาดการสนับสนุนโปรโตคอลด้วย แต่... มาดูกันว่าในกรณีนี้จะทำอะไรได้บ้าง

รองรับโปรโตคอล SSL และ TLS

ดังนั้น เมื่อคุณใช้ Microsoft Internet Explorer เพื่อเยี่ยมชมเว็บไซต์ที่มีการรักษาความปลอดภัย SSL แถบชื่อเรื่องจะปรากฏขึ้น ตรวจสอบให้แน่ใจว่าเปิดใช้งานโปรโตคอล ssl และ tls แล้ว- ก่อนอื่น คุณต้องเปิดใช้งานการรองรับโปรโตคอล TLS 1.0 ใน Internet Explorer

หากคุณกำลังเยี่ยมชมเว็บไซต์ที่ใช้ Internet Information Services 4.0 หรือสูงกว่า การกำหนดค่า Internet Explorer ให้รองรับ TLS 1.0 จะช่วยรักษาความปลอดภัยการเชื่อมต่อของคุณ แน่นอนว่าเว็บเซิร์ฟเวอร์ระยะไกลที่คุณพยายามใช้รองรับโปรโตคอลนี้

โดยทำในเมนู บริการเลือกทีม ตัวเลือกอินเทอร์เน็ต.

บนแท็บ นอกจากนี้ในส่วน ความปลอดภัยตรวจสอบให้แน่ใจว่าได้เลือกช่องทำเครื่องหมายต่อไปนี้:

  • ใช้ SSL2.0
  • ใช้ SSL3.0
  • ใช้ SSL 1.0

คลิกปุ่ม นำมาใช้ แล้ว ตกลง . รีสตาร์ทเบราว์เซอร์ของคุณ .

หลังจากเปิดใช้งาน TLS 1.0 แล้ว ให้ลองเยี่ยมชมเว็บไซต์อีกครั้ง

นโยบายการรักษาความปลอดภัยของระบบ

หากยังคงเกิดขึ้น ข้อผิดพลาดกับ SSL และ TLSหากคุณยังคงใช้ SSL ไม่ได้ แสดงว่าเว็บเซิร์ฟเวอร์ระยะไกลอาจไม่รองรับ TLS 1.0 ในกรณีนี้ คุณต้องปิดใช้งานนโยบายระบบที่ต้องใช้อัลกอริทึมที่สอดคล้องกับ FIPS

เมื่อต้องการทำเช่นนี้ใน แผงควบคุมเลือก การบริหารแล้วดับเบิลคลิก นโยบายความมั่นคงในท้องถิ่น.

ในการตั้งค่าความปลอดภัยท้องถิ่น ให้ขยาย นโยบายท้องถิ่นแล้วคลิกปุ่ม การตั้งค่าความปลอดภัย.

ตามนโยบายทางด้านขวาของหน้าต่าง ให้ดับเบิลคลิก การเข้ารหัสระบบ: ใช้อัลกอริธึมที่สอดคล้องกับ FIPS สำหรับการเข้ารหัส การแฮช และการลงนามแล้วคลิกปุ่ม พิการ.

ความสนใจ!

การเปลี่ยนแปลงจะมีผลเมื่อมีการใช้นโยบายความปลอดภัยภายในเครื่องอีกครั้ง เปิดและรีสตาร์ทเบราว์เซอร์ของคุณ

CryptoPro TLS SSL

อัปเดต CryptoPro

หนึ่งในตัวเลือกในการแก้ปัญหาคือการอัปเดต CryptoPro รวมถึงกำหนดค่าทรัพยากร ในกรณีนี้ การดำเนินการนี้ใช้กับการชำระเงินทางอิเล็กทรอนิกส์ ไปที่ผู้ออกใบรับรอง เลือกตลาดอิเล็กทรอนิกส์เป็นทรัพยากร

หลังจากเริ่มการตั้งค่าสถานที่ทำงานแบบอัตโนมัติ สิ่งที่เหลืออยู่ก็คือ รอให้ขั้นตอนเสร็จสิ้นหลังจากนั้น โหลดเบราว์เซอร์ซ้ำ- หากคุณต้องการป้อนหรือเลือกที่อยู่ทรัพยากร ให้เลือกที่อยู่ที่คุณต้องการ คุณอาจต้องรีสตาร์ทคอมพิวเตอร์เมื่อการตั้งค่าเสร็จสมบูรณ์

ปัญหา

เมื่อพยายามเข้าสู่บัญชีส่วนตัวของ GIIS "Electronic Budget" ข้อความแสดงข้อผิดพลาดจะปรากฏขึ้น:

ไม่สามารถแสดงหน้านี้ได้

เปิดใช้งานโปรโตคอล TLS 1.0, TLS 1.1 และ TLS 1.2 ในส่วน "การตั้งค่าขั้นสูง" และลองเชื่อมต่อกับหน้าเว็บ https://ssl.budgetplan.minfin.ru อีกครั้ง หากคุณไม่สามารถแก้ไขข้อผิดพลาดได้ โปรดติดต่อผู้ดูแลเว็บไซต์ของคุณ

สารละลาย

จำเป็นต้องตรวจสอบสถานที่ทำงานตามเอกสาร

คำแนะนำไม่ได้กล่าวถึงความแตกต่างหลายประการ:

  1. จำเป็นต้องติดตั้ง ปลั๊กอินเบราว์เซอร์ CryptoPro EDSและตรวจสอบการทำงานของมันในหน้าสาธิต
  2. จำเป็นต้องปิดใช้งานการกรองโปรโตคอล SSL/TLS ในการตั้งค่าโปรแกรมป้องกันไวรัส กล่าวอีกนัยหนึ่ง สำหรับไซต์ที่คุณกำลังมองหา คุณควรสร้างข้อยกเว้นสำหรับการตรวจสอบการเชื่อมต่อที่ปลอดภัย อาจถูกเรียกแตกต่างกันในโปรแกรมป้องกันไวรัสต่างๆ ตัวอย่างเช่น คุณต้องไปที่ Kaspersky Free “การตั้งค่า>ขั้นสูง>เครือข่าย>อย่าตรวจสอบการเชื่อมต่อที่ปลอดภัย” .

โปรโตคอล TLS เข้ารหัสการรับส่งข้อมูลอินเทอร์เน็ตทุกประเภท จึงทำให้การสื่อสารและการขายออนไลน์มีความปลอดภัย เราจะพูดถึงวิธีการทำงานของโปรโตคอลและสิ่งที่รอเราอยู่ในอนาคต

จากบทความคุณจะได้เรียนรู้:

เอสเอสแอลคืออะไร

SSL หรือ Secure Sockets Layer เป็นชื่อดั้งเดิมของโปรโตคอลที่ Netscape พัฒนาขึ้นในช่วงกลางทศวรรษที่ 90 SSL 1.0 ไม่เคยเปิดเผยต่อสาธารณะ และเวอร์ชัน 2.0 มีข้อบกพร่องร้ายแรง SSL 3.0 เปิดตัวในปี 1996 เป็นการยกเครื่องใหม่ทั้งหมดและกำหนดแนวทางสำหรับการพัฒนาขั้นต่อไป

TLS คืออะไร

เมื่อมีการเปิดตัวโปรโตคอลเวอร์ชันถัดไปในปี 1999 Internet Engineering Task Force ได้สร้างมาตรฐานให้กับโปรโตคอลและตั้งชื่อใหม่ว่า Transport Layer Security หรือ TLS ตามที่เอกสาร TLS ระบุไว้ “ความแตกต่างระหว่างโปรโตคอลนี้และ SSL 3.0 นั้นไม่สำคัญ” TLS และ SSL เป็นชุดโปรโตคอลที่ต่อเนื่องกัน และมักจะรวมกันภายใต้ชื่อ SSL/TLS

โปรโตคอล TLS เข้ารหัสการรับส่งข้อมูลอินเทอร์เน็ตทุกประเภท ประเภทที่พบบ่อยที่สุดคือการเข้าชมเว็บ คุณจะทราบเมื่อเบราว์เซอร์ของคุณสร้างการเชื่อมต่อ TLS หากลิงก์ในแถบที่อยู่ขึ้นต้นด้วย "https"

TLS ยังใช้โดยแอปพลิเคชันอื่นๆ เช่น ระบบอีเมลและการประชุมทางไกล

TLS ทำงานอย่างไร

การเข้ารหัสเป็นสิ่งจำเป็นในการสื่อสารออนไลน์อย่างปลอดภัย หากข้อมูลของคุณไม่ได้เข้ารหัส ใครๆ ก็สามารถวิเคราะห์และอ่านข้อมูลที่ละเอียดอ่อนได้

วิธีการเข้ารหัสที่ปลอดภัยที่สุดคือ การเข้ารหัสแบบไม่สมมาตร- ต้องใช้ 2 คีย์ 1 สาธารณะและ 1 ส่วนตัว ไฟล์เหล่านี้เป็นไฟล์ที่มีข้อมูล ซึ่งส่วนใหญ่มักเป็นตัวเลขที่มีขนาดใหญ่มาก กลไกนี้มีความซับซ้อน แต่พูดง่ายๆ ก็คือ คุณสามารถใช้คีย์สาธารณะเพื่อเข้ารหัสข้อมูลได้ แต่คุณต้องมีคีย์ส่วนตัวเพื่อถอดรหัส คีย์ทั้งสองเชื่อมโยงกันโดยใช้สูตรทางคณิตศาสตร์ที่ซับซ้อนซึ่งยากต่อการแฮ็ก

คุณสามารถนึกถึงคีย์สาธารณะเป็นข้อมูลเกี่ยวกับตำแหน่งของกล่องจดหมายที่ถูกล็อคและมีรู และคีย์ส่วนตัวเป็นคีย์ที่ใช้เปิดกล่องจดหมาย ใครก็ตามที่รู้ว่ากล่องนั้นอยู่ที่ไหนสามารถเขียนจดหมายไปที่นั่นได้ แต่หากต้องการอ่าน บุคคลนั้นจำเป็นต้องมีกุญแจในการเปิดกล่อง

เนื่องจากการเข้ารหัสแบบอสมมาตรใช้การคำนวณทางคณิตศาสตร์ที่ซับซ้อน จึงต้องใช้ทรัพยากรการประมวลผลจำนวนมาก TLS แก้ปัญหานี้โดยใช้การเข้ารหัสแบบอสมมาตรเฉพาะตอนเริ่มต้นเซสชันเพื่อเข้ารหัสการสื่อสารระหว่างเซิร์ฟเวอร์และไคลเอนต์ เซิร์ฟเวอร์และไคลเอนต์จะต้องเห็นด้วยกับคีย์เซสชันเดียว ซึ่งทั้งสองจะใช้ในการเข้ารหัสแพ็กเก็ตข้อมูล

กระบวนการที่ไคลเอนต์และเซิร์ฟเวอร์เห็นด้วยกับคีย์เซสชันเรียกว่า การจับมือกัน- นี่คือช่วงเวลาที่คอมพิวเตอร์ 2 เครื่องที่สื่อสารกันแนะนำตัวเองกัน

กระบวนการจับมือ TLS

กระบวนการจับมือ TLS ค่อนข้างซับซ้อน ขั้นตอนด้านล่างจะสรุปกระบวนการโดยทั่วไปเพื่อให้คุณเข้าใจวิธีการทำงานโดยทั่วไป

  1. ไคลเอนต์ติดต่อกับเซิร์ฟเวอร์และร้องขอการเชื่อมต่อที่ปลอดภัย เซิร์ฟเวอร์ตอบสนองด้วยรายการการเข้ารหัส ซึ่งเป็นชุดอัลกอริธึมสำหรับการสร้างการเชื่อมต่อที่เข้ารหัส ซึ่งเซิร์ฟเวอร์รู้วิธีใช้งาน ไคลเอนต์เปรียบเทียบรายการกับรายการรหัสที่รองรับ เลือกอันที่เหมาะสม และแจ้งให้เซิร์ฟเวอร์ทราบว่าจะใช้อันไหน
  2. เซิร์ฟเวอร์จัดเตรียมใบรับรองดิจิทัล - เอกสารอิเล็กทรอนิกส์ที่ลงนามโดยบุคคลที่สามเพื่อยืนยันความถูกต้องของเซิร์ฟเวอร์ ข้อมูลที่สำคัญที่สุดในใบรับรองคือรหัสสาธารณะของการเข้ารหัส ลูกค้ายืนยันความถูกต้องของใบรับรอง
  3. การใช้คีย์สาธารณะของเซิร์ฟเวอร์ ไคลเอ็นต์และเซิร์ฟเวอร์จะสร้างคีย์เซสชันที่ทั้งคู่จะใช้ตลอดเซสชันเพื่อเข้ารหัสการสื่อสาร มีหลายวิธีสำหรับสิ่งนี้ ไคลเอนต์สามารถใช้กุญแจสาธารณะเพื่อเข้ารหัสหมายเลขที่กำหนดเอง ซึ่งจะถูกส่งไปยังเซิร์ฟเวอร์เพื่อถอดรหัส จากนั้นทั้งสองฝ่ายก็ใช้หมายเลขนั้นเพื่อสร้างคีย์เซสชัน

คีย์เซสชันใช้ได้เฉพาะกับเซสชันต่อเนื่องหนึ่งเซสชันเท่านั้น หากการสื่อสารระหว่างไคลเอนต์และเซิร์ฟเวอร์ถูกขัดจังหวะด้วยเหตุผลบางประการ จำเป็นต้องมีการจับมือใหม่เพื่อสร้างคีย์เซสชันใหม่

ช่องโหว่ของโปรโตคอล TLS 1.2 และ TLS 1.2

TLS 1.2 เป็นเวอร์ชันทั่วไปของโปรโตคอล เวอร์ชันนี้ติดตั้งแพลตฟอร์มดั้งเดิมของตัวเลือกการเข้ารหัสเซสชัน อย่างไรก็ตาม เช่นเดียวกับโปรโตคอลเวอร์ชันก่อนหน้าบางรุ่น โปรโตคอลนี้อนุญาตให้ใช้เทคนิคการเข้ารหัสแบบเก่าเพื่อรองรับคอมพิวเตอร์รุ่นเก่าได้ น่าเสียดายที่สิ่งนี้นำไปสู่ช่องโหว่ในเวอร์ชัน 1.2 เนื่องจากกลไกการเข้ารหัสแบบเก่าเหล่านี้มีความเสี่ยงมากขึ้น

ตัวอย่างเช่น TLS 1.2 มีความเสี่ยงเป็นพิเศษต่อการปลอมแปลงการโจมตี ซึ่งผู้โจมตีจะดักจับแพ็กเก็ตข้อมูลระหว่างเซสชัน และส่งหลังจากอ่านหรือแก้ไขแล้ว ปัญหาเหล่านี้หลายอย่างได้เกิดขึ้นในช่วง 2 ปีที่ผ่านมา ทำให้เป็นเรื่องเร่งด่วนที่จะต้องสร้างเวอร์ชันที่อัปเดตของโปรโตคอล

TLS 1.3

โปรโตคอล TLS เวอร์ชัน 1.3 ซึ่งจะมีการสรุปผลเร็วๆ นี้ สามารถแก้ปัญหาต่างๆ มากมายเกี่ยวกับช่องโหว่ด้วยการละทิ้งการสนับสนุนระบบการเข้ารหัสแบบเดิม
เวอร์ชันใหม่มีความเข้ากันได้กับเวอร์ชันก่อนหน้า: ตัวอย่างเช่น การเชื่อมต่อจะถอยกลับไปเป็น TLS 1.2 หากฝ่ายใดฝ่ายหนึ่งไม่สามารถใช้ระบบการเข้ารหัสที่ใหม่กว่าในรายการอัลกอริทึมโปรโตคอลที่อนุญาตของเวอร์ชัน 1.3 อย่างไรก็ตาม ในการโจมตีปลอมแปลงการเชื่อมต่อ หากแฮ็กเกอร์พยายามบังคับดาวน์เกรดเวอร์ชันโปรโตคอลเป็น 1.2 ในระหว่างเซสชัน การกระทำนี้จะถูกสังเกตเห็นและการเชื่อมต่อจะสิ้นสุดลง

วิธีเปิดใช้งานการสนับสนุน TLS 1.3 ในเบราว์เซอร์ Google Chrome และ Firefox

Firefox และ Chrome รองรับ TLS 1.3 แต่เวอร์ชันนี้ไม่ได้เปิดใช้งานตามค่าเริ่มต้น เหตุผลก็คือปัจจุบันมีอยู่ในรูปแบบร่างเท่านั้น

มอซซิลา ไฟร์ฟอกซ์

พิมพ์ about:config ลงในแถบที่อยู่ของเบราว์เซอร์ ยืนยันว่าคุณเข้าใจความเสี่ยง

  1. ตัวแก้ไขการตั้งค่า Firefox จะเปิดขึ้น
  2. ป้อน security.tls.version.max ในการค้นหา
  3. เปลี่ยนค่าเป็น 4 โดยดับเบิลคลิกที่ค่าปัจจุบัน



กูเกิลโครม

  1. พิมพ์ chrome://flags/ ลงในแถบที่อยู่ของเบราว์เซอร์เพื่อเปิดแผงการทดลอง
  2. ค้นหาตัวเลือก #tls13-variant
  3. คลิกที่เมนูและตั้งค่าเป็น Enabled (Draft)
  4. รีสตาร์ทเบราว์เซอร์ของคุณ

วิธีตรวจสอบว่าเบราว์เซอร์ของคุณใช้เวอร์ชัน 1.2.1

เราขอเตือนคุณว่าเวอร์ชัน 1.3 ยังไม่มีการใช้งานแบบสาธารณะ ถ้าคุณไม่ต้องการ
ใช้แบบร่างคุณสามารถใช้เวอร์ชัน 1.2 ได้

หากต้องการตรวจสอบว่าเบราว์เซอร์ของคุณใช้เวอร์ชัน 1.2 ให้ทำตามขั้นตอนเดียวกับคำแนะนำด้านบน และตรวจสอบให้แน่ใจว่า:

  • สำหรับ Firefox ค่า security.tls.version.max คือ 3 หากต่ำกว่า ให้เปลี่ยนเป็น 3 โดยดับเบิลคลิกที่ค่าปัจจุบัน
  • สำหรับ Google Chrome: คลิกที่เมนูเบราว์เซอร์ - เลือก การตั้งค่า- เลือก แสดงการตั้งค่าขั้นสูง- ลงไปที่ส่วน ระบบและคลิกที่ เปิดการตั้งค่าพร็อกซี...:

  • ในหน้าต่างที่เปิดขึ้น คลิกแท็บความปลอดภัย และตรวจสอบให้แน่ใจว่าได้ทำเครื่องหมายในช่อง Use TLS 1.2 แล้ว ถ้าไม่ ให้ตรวจสอบแล้วคลิกตกลง:


การเปลี่ยนแปลงจะมีผลหลังจากที่คุณรีสตาร์ทคอมพิวเตอร์

เครื่องมือด่วนสำหรับตรวจสอบเวอร์ชันโปรโตคอล SSL/TLS ของเบราว์เซอร์ของคุณ

ไปที่เครื่องมือตรวจสอบเวอร์ชันโปรโตคอลออนไลน์ของ SSL Labs หน้านี้จะแสดงเวอร์ชันโปรโตคอลที่ใช้แบบเรียลไทม์และดูว่าเบราว์เซอร์มีความเสี่ยงต่อช่องโหว่หรือไม่

แหล่งที่มา: การแปล