Error en Internet Explorer. Asegúrese de que SSL y TLS estén habilitados. Problemas con el protocolo TSL: no se puede conectar de forma segura a esta página Dónde habilitar tls

En octubre, los ingenieros de Google publicaron información sobre una vulnerabilidad crítica en SSL versión 3.0 con un nombre gracioso CANICHE(Relleno de Oracle en cifrado heredado degradado o caniche 🙂). La vulnerabilidad permite que un atacante obtenga acceso a información cifrada por el protocolo SSLv3 utilizando un ataque de hombre en el medio. La vulnerabilidad afecta tanto a los servidores como a los clientes que pueden comunicarse mediante el protocolo SSLv3.

En general, la situación no es de extrañar, ya que protocolo SSL 3.0, presentado por primera vez en 1996, ya tiene 18 años y está moralmente desactualizado. En la mayoría de las tareas prácticas, ya ha sido reemplazado por un protocolo criptográfico. TLS(versiones 1.0, 1.1 y 1.2).

Para protegerse contra la vulnerabilidad POODLE, se recomienda deshabilitar el soporte SSLv3 tanto en el lado del cliente como en el del servidor y luego use solo TLS. Para los usuarios de software heredado (por ejemplo, que usan IIS 6 en Windows XP), esto significa que ya no podrán ver páginas HTTPS y usar otros servicios SSL. En el caso de que el soporte SSLv3 no esté completamente deshabilitado y se ofrezca un cifrado más fuerte de forma predeterminada, la vulnerabilidad POODLE seguirá ocurriendo. Esto se debe a las peculiaridades de la elección y negociación del protocolo de cifrado entre el cliente y el servidor, ya que al detectar fallas en el uso de TLS, se produce una transición automática a SSL.

Le recomendamos que verifique todos sus servicios que pueden usar SSL / TLS de alguna manera y deshabilite el soporte SSLv3. Puede comprobar su servidor web en busca de vulnerabilidades mediante una prueba en línea, por ejemplo, aquí: http://poodlebleed.com/.

Nota... Debe entenderse claramente que deshabilitar SSL v3 a nivel de todo el sistema solo funcionará para el software que usa las API del sistema para el cifrado SSL ( explorador de Internet, IIS, SQL NLA, RRAS, etc.). Los programas que utilizan sus propias herramientas de cifrado (Firefox, Opera, etc.) deben actualizarse y personalizarse individualmente.

Deshabilite SSLv3 en Windows a nivel del sistema

En SO Control de ventanas La compatibilidad con SSL / TLS se realiza a través del registro.

En este ejemplo, mostraremos cómo deshabilitar completamente SSLv3 a nivel del sistema (tanto a nivel de cliente como de servidor) en Servidor de windows 2012 R2:

Desactive SSLv2 (Windows 2008 / Server y versiones anteriores)

El sistema operativo anterior a Windows 7 / Windows Server 2008 R2 utiliza un protocolo aún menos seguro y desactualizado de forma predeterminada SSL v2, que también debe desactivarse por razones de seguridad (en más versiones frescas Windows, SSLv2 a nivel de cliente está deshabilitado de forma predeterminada y solo se utilizan SSLv3 y TLS1.0). Para deshabilitar SSLv2, debe repetir el procedimiento anterior, solo para la clave de registro SSL 2.0.

En Windows 2008/2012, SSLv2 está deshabilitado en el nivel de cliente de forma predeterminada.

Habilite TLS 1.1 y TLS 1.2 en Windows Server 2008 R2 y versiones posteriores

Windows Server 2008 R2 / Windows 7 y versiones posteriores admiten los algoritmos de cifrado TLS 1.1 y TLS 1.2, pero estos protocolos están deshabilitados de forma predeterminada. Habilite la compatibilidad con TLS 1.1 y TLS 1.2 en estos Versiones de Windows es posible de acuerdo con un escenario similar


Utilidad para administrar protocolos criptográficos del sistema en Windows Server

Existe utilidad gratuita IIS Crypto, que le permite administrar cómodamente los parámetros de los protocolos criptográficos en Windows Server 2003, 2008 y 2012. Con esta utilidad, puede habilitar o deshabilitar cualquiera de los protocolos de encriptación con solo dos clics.

El programa ya tiene varias plantillas que le permiten aplicar rápidamente ajustes preestablecidos para varias opciones de configuración de seguridad.

Si se enfrenta a un problema en el que hay un error al acceder a un sitio específico y aparece un mensaje en el navegador, existe una explicación razonable. En este artículo se dan las razones y las soluciones al problema.

SSL TLS

Los usuarios de organismos presupuestarios, y no solo presupuestarios, cuyas actividades están directamente relacionadas con las finanzas, en interacción con organismos financieros, por ejemplo, el Ministerio de Hacienda, Hacienda, etc., realizan todas sus operaciones exclusivamente utilizando el protocolo seguro SSL. Principalmente utilizan el navegador Internet Explorer en su trabajo. En algunos casos - Mozilla Firefox.

Error de SSL

La atención principal, a la hora de realizar estas operaciones, y el trabajo en general, se presta al sistema de seguridad: certificados, firmas electronicas... Utilizado para el trabajo software Versión actual de CryptoPro. Sobre problemas con los protocolos SSL y TLS, si Error de SSL aparecido, lo más probable es que no haya soporte para este protocolo.

Error de TLS

Error de TLS en muchos casos también puede indicar una falta de soporte de protocolo. Pero ... veamos qué se puede hacer en este caso.

Compatibilidad con los protocolos SSL y TLS

Por lo tanto, al utilizar Microsoft Internet Explorer para visitar el sitio web protegido con SSL, se muestra la barra de título Asegúrese de que los protocolos ssl y tls estén habilitados... En primer lugar, debe habilitar el soporte Protocolo TLS 1.0 en Internet Explorer.

Si visita un sitio web que ejecuta Internet Information Services 4.0 o superior, Configuración de Internet La compatibilidad con Explorer for TLS 1.0 ayuda a proteger su conexión. Siempre que, por supuesto, el servidor web remoto que está intentando utilizar sea compatible con este protocolo.

Para esto en el menú Servicio selecciona un equipo Opciones de Internet.

En la pestaña Adicionalmente En el capítulo Seguridad, asegúrese de que las siguientes casillas de verificación estén seleccionadas:

  • Utilice SSL 2.0
  • Utilice SSL 3.0
  • Utilice SSL 1.0

Haga clic en el botón Solicitar , y luego OK . Reinicia tu navegador .

Después de habilitar TLS 1.0, intente visitar el sitio web nuevamente.

Política de seguridad del sistema

Si todavia surgen Errores SSL y TLS Si aún no puede usar SSL, es probable que el servidor web remoto no admita TLS 1.0. En este caso, debe deshabilitar la política del sistema que requiere algoritmos compatibles con FIPS.

Para hacer esto, en Paneles de control escoger Administración y luego haga doble clic en el icono Política de seguridad local.

V parámetros locales seguridad, expanda el nodo Políticas locales y luego presione el botón Opciones de seguridad.

De acuerdo con la política en el lado derecho de la ventana, haga doble clic Criptografía del sistema: utilice algoritmos compatibles con FIPS para cifrado, hash y firma y luego presione el botón Discapacitado.

¡Atención!

El cambio entra en vigor cuando se vuelve a aplicar la política de seguridad local. Enciéndalo, reinicie su navegador.

SSL de CryptoPro TLS

Actualizar CryptoPro

Una de las opciones para resolver el problema es actualizar CryptoPro, así como configurar el recurso. En este caso, esto está trabajando con pagos electronicos... Vaya al Centro de certificación. Seleccione los mercados electrónicos como recurso.

Después del lanzamiento sintonización automática lugar de trabajo, solo habrá esperar hasta el final del procedimiento, luego reiniciar navegador... Si necesita ingresar o seleccionar una dirección de recurso, seleccione la que necesita. Además, después de completar la configuración, es posible que deba reiniciar su computadora.

TLS es un sucesor de SSL, un protocolo que proporciona conexiones confiables y seguras entre nodos en Internet. Se utiliza en el desarrollo de varios clientes, incluidos navegadores y aplicaciones cliente-servidor. ¿Qué es TLS en Internet Explorer?

Un poco de tecnología

Todas las empresas y organizaciones que se ocupan de transacciones financieras utilizan este protocolo para excluir escuchas telefónicas de paquetes y acceso no autorizado por intrusos. Esta tecnología está diseñada para proteger las conexiones críticas de ataques maliciosos.

Básicamente, su organización utiliza un navegador integrado. En algunos casos, Mozilla Firefox.

Habilitar y deshabilitar el protocolo

En ocasiones, no se puede acceder a algunos sitios debido a que el soporte para tecnologías SSL y TLS está deshabilitado. Aparece una notificación en el navegador. Entonces, ¿cómo habilita los protocolos para que sigan disfrutando de comunicaciones seguras?
1.Abra el Panel de control a través de Inicio. Otra forma: abre Explorer y haz clic en el ícono de ajustes en la esquina superior derecha.

2. Vaya a la sección "Propiedades del navegador" y abra el bloque "Avanzado".

3. Marque las casillas junto a "Usar TLS 1.1 y TLS 1.2".

4. Haga clic en Aceptar para guardar los cambios. Si desea deshabilitar los protocolos, lo cual es muy desaconsejado, especialmente si usa la banca por Internet, desmarque los mismos elementos.

¿En qué se diferencia 1.0 de 1.1 y 1.2? 1.1 es solo una versión ligeramente mejorada de TLS 1.0, que hereda parcialmente sus defectos. 1.2 es la versión más segura del protocolo. Por otro lado, no todos los sitios pueden abrirse con esta versión de protocolo habilitada.

Como sabe, Skype Messenger está directamente relacionado con Internet Explorer como Componente de Windows... Si no ha marcado el protocolo TLS en la configuración, es posible que haya problemas con Skype. El programa simplemente no podrá conectarse al servidor.

Si la compatibilidad con TLS está deshabilitada en la configuración de Internet Explorer, todas las funciones del programa relacionadas con la red no funcionarán. Además, la seguridad de sus datos depende de esta tecnología. No lo descuides si realizas transacciones financieras en este navegador (compras en tiendas online, transferencias de dinero a través de banca por Internet o e-wallet, etc.).

TLS cifra el tráfico de Internet de todo tipo, lo que hace que las comunicaciones y las ventas en Internet sean seguras. Hablaremos sobre cómo funciona el protocolo y qué depara el futuro.

Del artículo aprenderá:

Que es SSL

SSL, o Secure Sockets Layer, fue el nombre original del protocolo que Netscape desarrolló a mediados de los 90. SSL 1.0 nunca estuvo disponible públicamente y la versión 2.0 tenía serios defectos. SSL 3.0, lanzado en 1996, se revisó por completo y marcó la pauta para la siguiente etapa de desarrollo.

Que es TLS

Cuando se publicó la siguiente versión del protocolo en 1999, fue estandarizado por un grupo de trabajo diseñó Internet y le dio un nuevo nombre: Seguridad de la capa de transporte, o TLS. Como dice la documentación de TLS, "la diferencia entre este protocolo y SSL 3.0 no es crítica". TLS y SSL forman una serie de protocolos en constante evolución y, a menudo, se denominan colectivamente SSL / TLS.

TLS cifra cualquier tipo de tráfico de Internet. El tipo más común es el tráfico web. Usted sabe cuándo su navegador establece una conexión TLS, si el enlace en la barra de direcciones comienza con "https".

TLS también se utiliza en otras aplicaciones como el correo y los sistemas de teleconferencia.

Cómo funciona TLS

Se requiere cifrado para comunicarse de forma segura en Internet. Si sus datos no están encriptados, cualquiera puede analizarlos y leer información confidencial.

El método de cifrado más seguro es cifrado asimétrico... Esto requiere 2 claves, 1 pública y 1 privada. Estos son archivos con información, la mayoría de las veces muy números grandes... El mecanismo es complejo, pero en pocas palabras, puede utilizar una clave pública para cifrar datos, pero necesita llave privada para descifrarlos. Las dos claves están vinculadas a través de una fórmula matemática compleja que es difícil de piratear.

Puede pensar en una clave pública como información sobre la ubicación de una clave privada. buzón con un agujero, y una llave privada como la llave que abre el cajón. Cualquiera que sepa dónde se encuentra la caja puede poner una carta allí. Pero para leerlo, una persona necesita una llave para abrir el cajón.

Dado que el cifrado asimétrico utiliza complejas calculos matematicos, necesita muchos recursos informáticos. TLS resuelve este problema utilizando cifrado asimétrico solo al comienzo de la sesión para cifrar la comunicación entre el servidor y el cliente. El servidor y el cliente deben acordar la misma clave de sesión, que ambos utilizan para cifrar los paquetes de datos.

El proceso por el cual el cliente y el servidor acuerdan una clave de sesión se llama apretón de manos... Este es el momento en el que se presentan 2 computadoras comunicantes entre sí.

Proceso de protocolo de enlace TLS

El proceso de apretón de manos de TLS es bastante complejo. Los pasos a continuación describen el proceso en general para que comprenda cómo funciona en general.

  1. El cliente contacta con el servidor y solicita una conexión segura. El servidor responde con una lista de cifrados, un conjunto algorítmico para crear conexiones cifradas, que sabe cómo utilizar. El cliente compara la lista con su lista de cifrados admitidos, elige el apropiado y le permite al servidor saber cuál usarán juntos.
  2. El servidor proporciona su certificado digital- un documento electrónico firmado por un tercero que confirma la autenticidad del servidor. Lo mas información importante en el certificado, esta es la clave pública para el cifrado. El cliente confirma la autenticidad del certificado.
  3. Usando la clave pública del servidor, el cliente y el servidor establecen una clave de sesión que ambos usarán durante la sesión para encriptar la comunicación. Existen varios métodos para esto. El cliente puede usar la clave pública para cifrar un número arbitrario, que luego se envía al servidor para su descifrado, y ambas partes usan este número para establecer la clave de sesión.

Una clave de sesión solo es válida para una sesión continua. Si por alguna razón se interrumpe la comunicación entre el cliente y el servidor, se necesitará un nuevo protocolo de enlace para establecer nueva llave sesión.

Vulnerabilidades en los protocolos TLS 1.2 y TLS 1.2

TLS 1.2 es la versión más utilizada del protocolo. Esta versión instaló el marco de opciones de cifrado de sesión original. Sin embargo, al igual que algunas versiones anteriores del protocolo, este protocolo permitió el uso de técnicas de cifrado más antiguas para admitir computadoras más antiguas. Desafortunadamente, esto generó vulnerabilidades en la versión 1.2, ya que estos mecanismos de cifrado más antiguos se volvieron más vulnerables.

Por ejemplo, TLS 1.2 se ha vuelto particularmente vulnerable a los ataques de manipulación, en los que un pirata informático intercepta paquetes de datos en medio de una sesión y los envía después de leerlos o modificarlos. Muchos de estos problemas han surgido en los últimos 2 años, por lo que se hizo urgente crear una versión actualizada del protocolo.

TLS 1.3

La versión 1.3 de TLS, que pronto se finalizará, aborda muchos de los problemas de vulnerabilidad al eliminar el soporte para los sistemas de cifrado heredados.
V nueva versión hay compatibilidad con Versión anterior: por ejemplo, la conexión volverá a TLS 1.2 si una de las partes no puede usar más de nuevo sistema cifrado en la lista de algoritmos permitidos para la versión 1.3 del protocolo. Sin embargo, en un ataque como la manipulación de la conexión, si un pirata informático intenta revertir por la fuerza la versión del protocolo a 1.2 en medio de una sesión, esta acción se notará y la conexión se terminará.

Cómo habilitar la compatibilidad con TLS 1.3 en los navegadores Google Chrome y Firefox

Firefox y Chrome admiten TLS 1.3, pero esta versión no está habilitada de forma predeterminada. La razón es que hasta ahora solo existe en forma de borrador.

Mozilla Firefox

Ingrese about: config en la barra de direcciones de su navegador. Confirme que comprende los riesgos.

  1. Se abrirá el editor de preferencias de Firefox.
  2. Buscar security.tls.version.max
  3. Cambie el valor a 4 haciendo haga doble clic con el ratón hasta el valor actual.



Google Chrome

  1. Ingrese chrome: // flags / en la barra de direcciones de su navegador para abrir el panel de experimentos.
  2. Busque la opción # tls13-variant
  3. Haga clic en el menú y marque Activado (Borrador).
  4. Reinicia tu navegador.

Cómo comprobar si su navegador utiliza la versión 1.2

Te recordamos que la versión 1.3 aún no está en uso público. Si tu no quieres
use un borrador, puede permanecer en la versión 1.2.

Para comprobar que su navegador utiliza la versión 1.2, siga los mismos pasos que en las instrucciones anteriores y asegúrese de que:

  • Para Firefox, el valor security.tls.version.max es 3. Si es menor, cámbielo a 3 haciendo doble clic en el valor actual.
  • Para Google Chrome: haga clic en el menú del navegador - seleccione Ajustes- Seleccione Mostrar configuración avanzada- desplácese hasta la sección Sistema y haga clic en Abrir configuración de proxy ...:

  • En la ventana que se abre, haga clic en la pestaña Seguridad y verifique que el campo Usar TLS 1.2 esté marcado. Si no, póngalo y haga clic en Aceptar:


Los cambios entrarán en vigor después de que reinicie su computadora.

Una herramienta rápida para verificar la versión SSL / TLS de su navegador

Vaya al Comprobador de versiones de SSL en línea de Labs. La página mostrará en tiempo real la versión del protocolo utilizado y si el navegador es susceptible a alguna vulnerabilidad.

Fuentes de: traducción

Si se enfrenta a un problema en el que hay un error al acceder a un sitio específico y aparece un mensaje en el navegador, existe una explicación razonable. En este artículo se dan las razones y las soluciones al problema.

SSL TLS

SSL TLS

Los usuarios de organismos presupuestarios, y no solo presupuestarios, cuyas actividades están directamente relacionadas con las finanzas, en interacción con organismos financieros, por ejemplo, el Ministerio de Hacienda, Hacienda, etc., realizan todas sus operaciones exclusivamente utilizando el protocolo seguro SSL. Principalmente utilizan el navegador Internet Explorer en su trabajo. En algunos casos, Mozilla Firefox.

Error de SSL

La atención principal, a la hora de realizar estas operaciones, y el trabajo en general, se presta al sistema de seguridad: certificados, firmas electrónicas. Para trabajar, se utiliza el software CryptoPro de la versión actual. Sobre problemas con los protocolos SSL y TLS, si Error de SSL aparecido, lo más probable es que no haya soporte para este protocolo.

Error de TLS

Error de TLS en muchos casos también puede indicar una falta de soporte de protocolo. Pero ... veamos qué se puede hacer en este caso.

Compatibilidad con los protocolos SSL y TLS

Por lo tanto, al utilizar Microsoft Internet Explorer para visitar el sitio web protegido con SSL, se muestra la barra de título Asegúrese de que los protocolos ssl y tls estén habilitados... El primer paso es habilitar la compatibilidad con TLS 1.0 en Internet Explorer.

Si está visitando un sitio web que ejecuta Internet Information Services 4.0 o superior, configurar Internet Explorer para admitir TLS 1.0 ayuda a proteger su conexión. Siempre que, por supuesto, el servidor web remoto que está intentando utilizar sea compatible con este protocolo.

Para esto en el menú Servicio selecciona un equipo Opciones de Internet.

En la pestaña Adicionalmente En el capítulo Seguridad, asegúrese de que las siguientes casillas de verificación estén seleccionadas:

Utilice SSL 2.0
Utilice SSL 3.0
Utilice TLS 1.0

Haga clic en el botón Solicitar , y luego OK . Reinicia tu navegador .

Después de habilitar TLS 1.0, intente visitar el sitio web nuevamente.

Política de seguridad del sistema

Si todavia surgen Errores SSL y TLS Si aún no puede usar SSL, es probable que el servidor web remoto no admita TLS 1.0. En este caso, debe deshabilitar la política del sistema que requiere algoritmos compatibles con FIPS.

Para hacer esto, en Paneles de control escoger Administración y luego haga doble clic en el icono Política de seguridad local.

En Configuración de seguridad local, expanda Políticas locales y luego presione el botón Opciones de seguridad.

De acuerdo con la política en el lado derecho de la ventana, haga doble clic Criptografía del sistema: utilice algoritmos compatibles con FIPS para cifrado, hash y firma y luego presione el botón Discapacitado.

¡Atención! El cambio entra en vigor después política local se vuelve a aplicar la seguridad. Es decir encenderlo y reinicia tu navegador .

SSL de CryptoPro TLS

Actualizar CryptoPro

Configuración SSL TLS

Configuración de la red

Otra opcion podria ser deshabilitar NetBIOS sobre TCP / IP- ubicado en las propiedades de la conexión.

Registro de DLL

Correr línea de comando como administrador e ingrese el comando regsvr32 cpcng... Para un sistema operativo de 64 bits, debe usar regsvr32 que está en syswow64.