Protocolo TLS 1.1. Proteger Windows de las vulnerabilidades SSL v3. Habilitar o deshabilitar un protocolo

Problema

Al intentar iniciar sesión Área personal SIG " Presupuesto electrónico» aparece un mensaje de error:

Esta página no se puede mostrar

Habilite los protocolos TLS 1.0, TLS 1.1 y TLS 1.2 en la sección "Configuración avanzada" e intente conectarse a la página web https://ssl.budgetplan.minfin.ru nuevamente. Si no puede resolver el error, comuníquese con el administrador de su sitio web.

Solución

Es necesario comprobar la configuración del lugar de trabajo según el documento.

Las instrucciones no mencionan varios matices:

  1. Necesitas instalar Complemento del navegador CryptoPro EDS y comprobar su funcionamiento en la página de demostración.
  2. Es necesario desactivar el filtrado del protocolo SSL/TLS en la configuración del antivirus; en otras palabras, para el sitio que estás buscando, debes hacer una excepción para verificar una conexión segura; Es posible que se llame de manera diferente en diferentes antivirus. Por ejemplo, en Kaspersky Gratis tengo que irme “Configuración>Avanzado>Red>No marcar conexiones seguras” .

El protocolo TLS cifra todo tipo de tráfico de Internet, haciendo así seguras las comunicaciones y las ventas online. Hablaremos de cómo funciona el protocolo y de lo que nos espera en el futuro.

Del artículo aprenderás:

¿Qué es SSL?

SSL o Secure Sockets Layer era el nombre original del protocolo que Netscape desarrolló a mediados de los años 90. SSL 1.0 nunca estuvo disponible públicamente y la versión 2.0 tenía graves fallas. SSL 3.0, lanzado en 1996, fue una revisión completa y marcó la pauta para la siguiente fase de desarrollo.

¿Qué es TLS?

Cuando se publicó la siguiente versión del protocolo en 1999, fue estandarizado mediante un grupo de trabajo diseño de Internet y le dio un nuevo nombre: seguridad de la capa de transporte o TLS. Como indica la documentación de TLS, "la diferencia entre este protocolo y SSL 3.0 no es crítica". TLS y SSL forman una serie continua de protocolos y a menudo se combinan bajo el nombre SSL/TLS.

El protocolo TLS cifra el tráfico de Internet de cualquier tipo. El tipo más común es el tráfico web. Sabrá cuándo su navegador establece una conexión TLS si el enlace en la barra de direcciones comienza con "https".

TLS también lo utilizan otras aplicaciones, como sistemas de correo y teleconferencias.

Cómo funciona TLS

El cifrado es necesario para comunicarse de forma segura en línea. Si sus datos no están cifrados, cualquiera puede analizarlos y leer información confidencial.

El método de cifrado más seguro es cifrado asimétrico. Esto requiere 2 claves, 1 pública y 1 privada. Estos son archivos con información, la mayoría de las veces muy números grandes. El mecanismo es complejo, pero en pocas palabras, puede usar una clave pública para cifrar datos, pero necesita llave privada para descifrarlos. Las dos claves están vinculadas mediante una fórmula matemática compleja que es difícil de piratear.

Puedes pensar en una clave pública como información sobre la ubicación de una clave privada. buzón con un agujero y una clave privada como llave que abre la caja. Cualquiera que sepa dónde está la caja puede poner una carta allí. Pero para leerlo, una persona necesita una llave para abrir la caja.

Dado que el cifrado asimétrico utiliza complejos calculos matematicos, requiere muchos recursos informáticos. TLS resuelve este problema utilizando cifrado asimétrico sólo al comienzo de una sesión para cifrar las comunicaciones entre el servidor y el cliente. El servidor y el cliente deben acordar una única clave de sesión, que ambos utilizarán para cifrar paquetes de datos.

El proceso mediante el cual el cliente y el servidor acuerdan una clave de sesión se llama apretón de manos. Este es el momento en el que 2 ordenadores que se comunican se presentan.

Proceso de protocolo de enlace TLS

El proceso de protocolo de enlace TLS es bastante complejo. Los pasos a continuación describen el proceso en general para que pueda comprender cómo funciona en general.

  1. El cliente contacta al servidor y solicita una conexión segura. El servidor responde con una lista de cifrados (un conjunto algorítmico para crear conexiones cifradas) que sabe cómo utilizar. El cliente compara la lista con su lista de cifrados admitidos, selecciona el apropiado y le informa al servidor cuál usarán los dos.
  2. El servidor proporciona su certificado digital - documento electrónico, firmado por un tercero, que verifica la autenticidad del servidor. lo mas información importante en el certificado está la clave pública del cifrado. El cliente confirma la autenticidad del certificado.
  3. Utilizando la clave pública del servidor, el cliente y el servidor establecen una clave de sesión que ambos utilizarán durante la sesión para cifrar las comunicaciones. Hay varios métodos para esto. El cliente puede usar la clave pública para cifrar un número arbitrario, que luego se envía al servidor para descifrarlo, y ambas partes usan ese número para establecer la clave de sesión.

Una clave de sesión sólo es válida para una sesión continua. Si por alguna razón se interrumpe la comunicación entre el cliente y el servidor, será necesario un nuevo protocolo de enlace para establecer nueva llave sesiones.

Vulnerabilidades de los protocolos TLS 1.2 y TLS 1.2

TLS 1.2 es la versión más común del protocolo. Esta versión instaló la plataforma original de opciones de cifrado de sesiones. Sin embargo, al igual que algunas versiones anteriores del protocolo, este protocolo permitía el uso de técnicas de cifrado más antiguas para admitir computadoras más antiguas. Desafortunadamente, esto generó vulnerabilidades en la versión 1.2, ya que estos mecanismos de cifrado más antiguos se volvieron más vulnerables.

Por ejemplo, protocolo TLS 1.2 se ha vuelto particularmente vulnerable a ataques de manipulación, en los que un pirata informático intercepta paquetes de datos a mitad de sesión y los envía después de leerlos o modificarlos. Muchos de estos problemas han surgido en los últimos dos años, por lo que es urgente crear una versión actualizada del protocolo.

TLS 1.3

La versión 1.3 del protocolo TLS, que estará finalizada pronto, resuelve muchos de los problemas de vulnerabilidades al abandonar el soporte para sistemas de cifrado heredados.
EN nueva versión es compatible con Versión anterior: Por ejemplo, la conexión volverá a TLS 1.2 si una de las partes no utiliza más nuevo sistema cifrado en la lista de algoritmos de protocolo permitidos versión 1.3. Sin embargo, en un ataque de manipulación de la conexión, si un hacker intenta por la fuerza degradar la versión del protocolo a 1.2 en medio de una sesión, esta acción se notará y la conexión finalizará.

Cómo habilitar la compatibilidad con TLS 1.3 en los navegadores Google Chrome y Firefox

Firefox y Chrome admiten TLS 1.3, pero esta versión no está habilitada de forma predeterminada. La razón es que actualmente sólo existe en forma de borrador.

Mozilla Firefox

Escriba about:config en la barra de direcciones de su navegador. Confirme que comprende los riesgos.

  1. Se abrirá el editor de configuración de Firefox.
  2. Ingrese seguridad.tls.version.max en la búsqueda
  3. Cambie el valor a 4 haciendo haga doble clic ratón al valor actual.



Google Chrome

  1. Escriba chrome://flags/ en la barra de direcciones de su navegador para abrir el panel de experimentos.
  2. Buscar la opción #tls13-variante
  3. Haga clic en el menú y configúrelo en Habilitado (Borrador).
  4. Reinicie su navegador.

Cómo comprobar que su navegador utiliza la versión 1.2

Te recordamos que la versión 1.3 aún no es de uso público. Si tu no quieres
Utilice el borrador, puede permanecer en la versión 1.2.

Para verificar que su navegador esté usando la versión 1.2, siga los mismos pasos que en las instrucciones anteriores y asegúrese de que:

  • Para Firefox, el valor de security.tls.version.max es 3. Si es menor, cámbielo a 3 haciendo doble clic en el valor actual.
  • Para Google Chrome: Haga clic en el menú del navegador - seleccione Ajustes- seleccionar Mostrar configuración avanzada- baja a la sección Sistema y haga clic en Abrir configuración de proxy...:

  • En la ventana que se abre, haga clic en la pestaña Seguridad y asegúrese de que el campo Usar TLS 1.2 esté marcado. Si no, verifíquelo y haga clic en Aceptar:


Los cambios entrarán en vigor después de que reinicie su computadora.

Una herramienta rápida para comprobar la versión del protocolo SSL/TLS de su navegador

Vaya a la herramienta de verificación de versiones del protocolo en línea de SSL Labs. La página mostrará en tiempo real la versión del protocolo utilizado y si el navegador es susceptible a alguna vulnerabilidad.

Fuentes: traducción

Si tiene un problema en el que falla el acceso a un sitio específico y aparece un mensaje en su navegador, existe una explicación razonable para ello. Las causas y soluciones al problema se dan en este artículo.

Protocolo SSL TLS

Los usuarios de organizaciones presupuestarias, y no solo presupuestarias, cuyas actividades están directamente relacionadas con las finanzas, en interacción con organizaciones financieras, por ejemplo, el Ministerio de Finanzas, Hacienda, etc., realizan todas sus operaciones utilizando exclusivamente el protocolo SSL seguro. Básicamente, utilizan un navegador para hacer su trabajo. explorador de Internet. En algunos casos - Mozilla Firefox.

Error SSL

La principal atención a la hora de realizar estas operaciones, y el trabajo en general, se presta al sistema de seguridad: certificados, firmas electrónicas. Usado para el trabajo software CriptoPro versión actual. Sobre problemas con los protocolos SSL y TLS, Si error de SSL apareció, lo más probable es que no haya soporte para este protocolo.

error TLS

error TLS en muchos casos también puede indicar una falta de soporte de protocolo. Pero… veamos qué se puede hacer en este caso.

Soporte de protocolo SSL y TLS

Así que cuando usando microsoft Internet Explorer, para visitar un sitio web protegido por SSL, se muestra la barra de título Asegúrese de que los protocolos ssl y tls estén habilitados. En primer lugar, debe habilitar la compatibilidad con el protocolo TLS 1.0 en Internet Explorer.

Si está visitando un sitio web que ejecuta Internet Information Services 4.0 o superior, configuración de internet La compatibilidad con TLS 1.0 de Explorer ayuda a proteger su conexión. Por supuesto, siempre que el servidor web remoto que esté intentando utilizar admita este protocolo.

Para hacer esto en el menú Servicio selecciona un equipo opciones de Internet.

en la pestaña Además en el capitulo Seguridad, asegúrese de que las siguientes casillas de verificación estén seleccionadas:

  • Utilice SSL 2.0
  • Utilice SSL 3.0
  • Utilice SSL 1.0

Clic en el botón Aplicar , y luego DE ACUERDO . Reinicia tu navegador .

Después de habilitar TLS 1.0, intente visitar el sitio web nuevamente.

Política de seguridad del sistema

Si todavía ocurren errores con SSL y TLS Si aún no puede utilizar SSL, es probable que el servidor web remoto no admita TLS 1.0. En este caso, debe deshabilitar la política del sistema que requiere algoritmos compatibles con FIPS.

Para hacer esto, en Paneles de control seleccionar Administración y luego haga doble clic política de seguridad local.

EN parámetros locales seguridad, expandir el nodo Políticas locales y luego haga clic en el botón Configuraciones de seguridad.

De acuerdo con la política en el lado derecho de la ventana, haga doble clic Criptografía del sistema: utilice algoritmos compatibles con FIPS para cifrado, hash y firma y luego haga clic en el botón Desactivado.

¡Atención!

El cambio entra en vigor después de volver a aplicar. política local seguridad. Enciéndelo y reinicia tu navegador.

CryptoPro TLS SSL

Actualizar CryptoPro

Una de las opciones para solucionar el problema es actualizar CryptoPro, así como configurar el recurso. En este caso se trabaja con pagos electronicos. Vaya a Autoridad de certificación. Seleccione Mercados electrónicos como recurso.

Después del lanzamiento ajustes automáticos lugar de trabajo, sólo habrá espere a que se complete el procedimiento, entonces recargar el navegador. Si necesita ingresar o seleccionar una dirección de recurso, seleccione la que necesita. Es posible que también deba reiniciar su computadora cuando se complete la instalación.

En octubre, los ingenieros de Google publicaron información sobre una vulnerabilidad crítica en SSL versión 3.0, que recibió un nombre divertido CANICHE(Relleno de Oracle en cifrado heredado degradado o caniche 🙂). La vulnerabilidad permite a un atacante obtener acceso a información cifrada con el protocolo SSLv3 mediante un ataque de "hombre en el medio". Tanto los servidores como los clientes que pueden conectarse mediante el protocolo SSLv3 son vulnerables a la vulnerabilidad.

En general, la situación no es sorprendente, porque... protocolo SSL 3.0, introducido por primera vez en 1996, ya tiene 18 años y ya está moralmente desactualizado. En la mayoría de tareas prácticas ya ha sido sustituido por un protocolo criptográfico. TLS(versiones 1.0, 1.1 y 1.2).

Para protegerse contra la vulnerabilidad POODLE, se recomienda proteger completamente deshabilite el soporte SSLv3 tanto en el lado del cliente como en el del servidor y de ahora en adelante use solo TLS. Para los usuarios de software heredado (como aquellos que usan IIS 6 en Windows XP), esto significa que ya no podrán ver páginas HTTPS ni utilizar otros servicios SSL. Si la compatibilidad con SSLv3 no está completamente deshabilitada y se ofrece un cifrado más seguro de forma predeterminada, la vulnerabilidad POODLE seguirá existiendo. Esto se debe a las peculiaridades de elegir y acordar el protocolo de cifrado entre el cliente y el servidor, porque Si se detectan problemas en el uso de TLS, se produce una transición automática a SSL.

Le recomendamos que verifique todos sus servicios que pueden usar SSL/TLS en cualquier forma y deshabilite la compatibilidad con SSLv3. Puede comprobar si su servidor web tiene vulnerabilidades mediante una prueba en línea, por ejemplo, aquí: http://poodlebleed.com/.

Nota. Debe entenderse claramente que deshabilitar SSL v3 a nivel de todo el sistema solo funcionará para el software que utiliza las API del sistema para el cifrado SSL (Internet Explorer, IIS, SQL NLA, RRAS, etc.). Los programas que utilizan sus propias herramientas criptográficas (Firefox, Opera, etc.) deben actualizarse y configurarse individualmente.

Deshabilitar SSLv3 en Windows a nivel del sistema

En sistema operativo control de ventanas La compatibilidad con los protocolos SSL/TLS se proporciona a través del registro.

En este ejemplo mostraremos cómo deshabilitar completamente SSLv3 a nivel del sistema (tanto a nivel de cliente como de servidor) en Servidor de windows 2012 R2:

Deshabilite SSLv2 (Windows 2008/Server y versiones anteriores)

Los sistemas operativos anteriores a Windows 7/Windows Server 2008 R2 utilizan un protocolo aún menos seguro y obsoleto de forma predeterminada SSLv2, que también debería estar deshabilitado por razones de seguridad (en versiones más recientes). Versiones de Windows, SSLv2 a nivel de cliente está deshabilitado de forma predeterminada y solo se utilizan SSLv3 y TLS1.0). Para deshabilitar SSLv2, debe repetir el procedimiento descrito anteriormente, solo para la clave de registro SSL 2.0.

En Windows 2008/2012, SSLv2 está deshabilitado a nivel de cliente de forma predeterminada.

Habilite TLS 1.1 y TLS 1.2 en Windows Server 2008 R2 y superior

Windows Server 2008 R2/Windows 7 y versiones posteriores admiten los algoritmos de cifrado TLS 1.1 y TLS 1.2, pero estos protocolos están deshabilitados de forma predeterminada. Puede habilitar la compatibilidad con TLS 1.1 y TLS 1.2 en estas versiones de Windows usando un escenario similar


Una utilidad para gestionar los protocolos criptográficos del sistema en Windows Server.

existe utilidad gratuita IIS Crypto, que le permite administrar cómodamente los parámetros de los protocolos criptográficos en Windows Server 2003, 2008 y 2012. Con esta utilidad, puede habilitar o deshabilitar cualquiera de los protocolos de cifrado con solo dos clics.

El programa ya cuenta con varias plantillas que le permiten aplicar rápidamente ajustes preestablecidos para varias configuraciones de seguridad.

TLS es el sucesor de SSL, un protocolo que proporciona una conexión confiable y segura entre nodos en Internet. Se utiliza en el desarrollo de varios clientes, incluidos navegadores y aplicaciones cliente-servidor. ¿Qué es TLS en Internet Explorer?

Un poco de tecnología

Todas las empresas y organizaciones que realizan transacciones financieras utilizan este protocolo para evitar la escucha de paquetes y el acceso no autorizado por parte de intrusos. Esta tecnología está diseñada para proteger conexiones importantes de ataques de intrusos.

Básicamente, sus organizaciones utilizan un navegador integrado. En algunos casos, Mozilla Firefox.

Habilitar o deshabilitar un protocolo

A veces es imposible acceder a algunos sitios porque la compatibilidad con las tecnologías SSL y TLS está deshabilitada. Aparece una notificación en el navegador. Entonces, ¿cómo se pueden habilitar protocolos para poder seguir disfrutando de comunicaciones seguras?
1.Abra el Panel de control a través de Inicio. Otra forma: abra el Explorador y haga clic en el ícono de ajustes en la esquina superior derecha.

2.Vaya a la sección "Opciones del navegador" y abra el bloque "Avanzado".

3.Marque las casillas junto a "Usar TLS 1.1 y TLS 1.2".

4.Haga clic en Aceptar para guardar los cambios. Si desea desactivar los protocolos, lo cual no es muy recomendable, especialmente si utiliza la banca en línea, desmarque los mismos elementos.

¿Cuál es la diferencia entre 1.0 y 1.1 y 1.2? 1.1 es sólo una versión ligeramente mejorada de TLS 1.0, que heredó parcialmente sus deficiencias. 1.2 es la versión más segura del protocolo. Por otro lado, no todos los sitios pueden abrirse con esta versión del protocolo habilitada.

Como sabes, Skype Messenger está conectado directamente a Internet Explorer como Componente de Windows. Si no tiene marcado el protocolo TLS en la configuración, pueden surgir problemas con Skype. El programa simplemente no podrá conectarse al servidor.

Si la compatibilidad con TLS está deshabilitada en la configuración de Internet Explorer, todas las funciones del programa relacionadas con la red no funcionarán. Además, la seguridad de sus datos depende de esta tecnología. No lo descuides si realizas transacciones financieras en este navegador (compras en tiendas online, transferencias de dinero a través de banca online o billetera electrónica, etc.).