Viga Internet Exploreris. Veenduge, et SSL ja TLS on lubatud. TSL-i protokolli probleemid – selle lehega ei saa turvaliselt ühendust luua. Kus tls lubada

Oktoobris avaldasid Google'i insenerid teabe kriitilise haavatavuse kohta aastal SSL versioon 3.0, mis sai naljaka nime PUUDL(Padding Oracle On Downgraded Legacy Encryption või poodle 🙂). See haavatavus võimaldab ründajal pääseda ligi SSLv3-protokolliga krüpteeritud teabele, kasutades rünnakut "mees keskel". Nii serverid kui ka kliendid, mis saavad SSLv3-protokolli kasutades ühendust luua, on haavatavuse suhtes haavatavad.

Üldiselt pole olukord üllatav, sest... protokolli SSL 3.0, mida esmakordselt tutvustati 1996. aastal, on juba 18-aastane ja on juba moraalselt vananenud. Enamikus praktilistes ülesannetes on see juba asendatud krüptoprotokolliga TLS(versioonid 1.0, 1.1 ja 1.2).

POODLE haavatavuse eest kaitsmiseks on soovitatav täielikult keelake SSLv3 tugi nii kliendi kui ka serveri poolel ja edaspidi kasutada ainult TLS-i. Pärandtarkvara kasutajad (nt need, kes kasutavad IIS 6 operatsioonisüsteemis Windows XP), tähendab see, et nad ei saa enam HTTPS-i lehti vaadata ega muid SSL-teenuseid kasutada. Kui SSLv3 tugi pole täielikult keelatud ja vaikimisi pakutakse tugevamat krüptimist, jääb POODLE haavatavus siiski alles. See on tingitud kliendi ja serveri vahelise krüpteerimisprotokolli valimise ja kokkuleppimise iseärasustest, kuna Kui TLS-i kasutamisel avastatakse probleeme, toimub automaatne üleminek SSL-ile.

Soovitame teil kontrollida kõiki oma teenuseid, mis võivad SSL-i/TLS-i mis tahes kujul kasutada, ja keelata SSLv3 tugi. Saate oma veebiserveris turvaauke kontrollida, kasutades veebitesti, näiteks siit: http://poodlebleed.com/.

Märge. Sellest on vaja selgelt aru saada SSL-i keelamine Süsteemiülene v3 töötab ainult tarkvara puhul, mis kasutab SSL-i krüptimiseks süsteemi API-sid ( Internet Explorer, IIS, SQL NLA, RRAS jne). Programmid, mis kasutavad oma krüptotööriistu (Firefox, Opera jne), tuleb individuaalselt värskendada ja seadistada.

SSLv3 keelamine Windowsis süsteemi tasemel

OS-is Windowsi juhtimine SSL/TLS-protokollide tugi on saadaval registri kaudu.

Selles näites näitame, kuidas SSLv3 täielikult keelata süsteemi tasemel (nii kliendi kui ka serveri tasemel) Windows Server 2012 R2:

Keela SSLv2 (Windows 2008 / Server ja vanemad)

Windows 7 / Windows Server 2008 R2-le eelnevad operatsioonisüsteemid kasutavad vaikimisi veelgi vähem turvalist ja aegunud protokolli SSL v2, mis tuleks ka turvakaalutlustel keelata (veel uusimad versioonid Windows, SSLv2 kliendi tasemel on vaikimisi keelatud ja kasutatakse ainult SSLv3 ja TLS1.0). SSLv2 keelamiseks peate korrama ülalkirjeldatud protseduuri ainult registrivõtme jaoks SSL 2.0.

Windows 2008/2012 puhul on SSLv2 kliendi tasemel vaikimisi keelatud.

Lubage Windows Server 2008 R2 ja uuemates versioonides TLS 1.1 ja TLS 1.2

Windows Server 2008 R2 / Windows 7 ja uuemad versioonid toetavad TLS 1.1 ja TLS 1.2 krüpteerimisalgoritme, kuid need protokollid on vaikimisi keelatud. Lubage neis TLS 1.1 ja TLS 1.2 tugi Windowsi versioonid võimalik sarnase stsenaariumi järgi

Utiliit süsteemi krüptoprotokollide haldamiseks Windows Serveris

Olemas tasuta utiliit IIS Crypto, mis võimaldab mugavalt hallata krüptoprotokollide parameetreid operatsioonisüsteemides Windows Server 2003, 2008 ja 2012. Selle utiliidi abil saate vaid kahe klõpsuga lubada või keelata mis tahes krüpteerimisprotokolli.

Programmil on juba mitu malli, mis võimaldavad kiiresti rakendada erinevate turvaseadete eelseadeid.

Kui teil tekib probleem, mille korral juurdepääs konkreetsele saidile ebaõnnestub ja teie brauseris kuvatakse teade, on sellele mõistlik selgitus. Probleemi põhjused ja lahendused on toodud selles artiklis.

SSL TLS protokoll

Eelarveliste organisatsioonide ja mitte ainult eelarveliste organisatsioonide kasutajad, kelle tegevus on otseselt seotud rahandusega, teevad koostoimes finantsorganisatsioonidega, näiteks rahandusministeeriumi, riigikassa jt, kõiki oma toiminguid eranditult turvalise SSL-protokolli abil. Põhimõtteliselt kasutavad nad oma töös interneti lehitseja Explorer. Mõningatel juhtudel - Mozilla Firefox.

SSL-i viga

Põhitähelepanu nende toimingute tegemisel ja tööl üldiselt pööratakse turvasüsteemile: sertifikaadid, elektroonilised allkirjad. Kasutatud tööks tarkvara CryptoPro praegune versioon. Mis puudutab probleeme SSL ja TLS protokollidega, Kui SSL viga ilmus, tõenäoliselt puudub selle protokolli tugi.

TLS viga

TLS viga paljudel juhtudel võib see viidata ka protokolli toe puudumisele. Aga... vaatame, mida sel juhul teha saab.

SSL- ja TLS-protokolli tugi

Niisiis, millal kasutades Microsofti Internet Exploreris, SSL-turvaga veebisaidi külastamiseks kuvatakse tiitliriba Veenduge, et ssl- ja tls-protokollid oleksid lubatud. Kõigepealt peate lubama toe TLS protokoll 1.0 Internet Exploreris.

Kui külastate veebisaiti, kus töötab Interneti-teabeteenused 4.0 või uuem, Interneti seadistamine Exploreri TLS 1.0 tugi aitab teie ühendust kaitsta. Muidugi eeldusel, et kaugveebiserver, mida proovite kasutada, toetab seda protokolli.

Selleks menüüs Teenindus vali meeskond Interneti-valikud.

Vahekaardil Lisaks Peatükis Ohutus, veenduge, et järgmised märkeruudud on märgitud:

Kasutage SSL 2.0
Kasutage SSL 3.0
Kasutage SSL 1.0

Klõpsake nuppu Rakenda , ja siis Okei . Taaskäivitage brauser .

Pärast TLS 1.0 lubamist proovige veebisaiti uuesti külastada.

Süsteemi turvapoliitika

Kui neid ikka esineb SSL-i ja TLS-i vead Kui te ikka ei saa SSL-i kasutada, ei toeta kaugveebiserver tõenäoliselt TLS 1.0. Sel juhul peate keelama süsteemipoliitika, mis nõuab FIPS-ühilduvaid algoritme.

Selleks sisestage Juhtpaneelid vali Administreerimine ja seejärel topeltklõpsake Kohalik turvapoliitika.

IN kohalikud parameetrid turvalisus, laiendage sõlme Kohalikud poliitikad ja seejärel klõpsake nuppu Turvaseaded.

Vastavalt akna paremal küljel olevale poliitikale topeltklõpsake Süsteemi krüptograafia: kasutage krüptimiseks, räsimiseks ja allkirjastamiseks FIPS-ühilduvaid algoritme ja seejärel klõpsake nuppu Keelatud.

Tähelepanu!

Muudatus jõustub kohaliku turbepoliitika uuesti rakendamisel. Lülitage see sisse ja taaskäivitage brauser.

CryptoPro TLS SSL

Värskendage CryptoPro

Üks probleemi lahendamise võimalustest on CryptoPro värskendamine ja ressursi konfigureerimine. Sel juhul töötab see koos elektroonilised maksed. Minge sertifitseerimiskeskusesse. Valige ressursiks elektroonilised turuplatsid.

Pärast käivitamist automaatsed seadistused töökoht, seal ainult olema oodake protseduuri lõpuleviimist, siis laadige brauser uuesti. Kui teil on vaja sisestada või valida ressursi aadress, valige see, mida vajate. Kui seadistamine on lõppenud, peate võib-olla ka arvuti taaskäivitama.

TLS on SSL-i järglane, protokoll, mis tagab usaldusväärse ja turvalise ühenduse Interneti-sõlmede vahel. Seda kasutatakse erinevate klientide, sealhulgas brauserite ja klient-serveri rakenduste arendamiseks. Mis on Internet Exploreris TLS?

Natuke tehnoloogiast

Kasutavad kõik ettevõtted ja organisatsioonid, kes tegelevad finantstehingutega see protokoll et vältida pakettide pealtkuulamist ja sissetungijate volitamata juurdepääsu. See tehnoloogia on loodud kaitsma olulisi ühendusi sissetungijate rünnakute eest.

Põhimõtteliselt kasutavad nende organisatsioonid sisseehitatud brauserit. Mõnel juhul - Mozilla Firefox.

Protokolli lubamine või keelamine

Mõnele saidile on mõnikord võimatu juurde pääseda, kuna SSL-i ja TLS-i tehnoloogiate tugi on keelatud. Brauseris kuvatakse teade. Niisiis, kuidas saate lubada protokolle, et saaksite jätkuvalt nautida turvalist sidet?
1. Avage Start kaudu juhtpaneel. Teine võimalus: avage Explorer ja klõpsake paremas ülanurgas hammasrattaikooni.

2. Minge jaotisse "Brauseri valikud" ja avage plokk "Täpsem".

3. Märkige ruudud valiku „Kasuta TLS 1.1 ja TLS 1.2” kõrval.

4. Muudatuste salvestamiseks klõpsake nuppu OK. Kui soovite protokollid keelata, mis pole eriti soovitatav, eriti kui kasutate Interneti-panka, tühjendage samade üksuste märge.

Mis vahe on 1.0 ja 1.1 ja 1.2 vahel? 1.1 on vaid veidi täiustatud versioon TLS 1.0-st, mis on osaliselt pärinud selle puudused. 1.2 on protokolli kõige turvalisem versioon. Teisest küljest ei saa kõiki saite selle protokolli versiooniga avada.

Nagu teate, on Skype'i messenger otse ühendatud Internet Exploreriga Windowsi komponent. Kui sul pole sätetes TLS-protokolli linnukesega märgitud, siis võib Skype’iga probleeme tekkida. Programm lihtsalt ei saa serveriga ühendust luua.

Kui TLS-i tugi on Internet Exploreri sätetes keelatud, ei tööta programmi kõik võrguga seotud funktsioonid. Lisaks sõltub sellest tehnoloogiast teie andmete turvalisus. Ärge jätke seda tähelepanuta, kui sooritate selles brauseris finantstehinguid (ostud veebipoodides, raha ülekandmine internetipanga või e-rahakoti kaudu jne).

TLS-protokoll krüpteerib igat tüüpi Interneti-liiklust, muutes seeläbi suhtluse ja müügi Internetis turvaliseks. Räägime sellest, kuidas protokoll töötab ja mis meid edaspidi ees ootab.

Artiklist saate teada:

Mis on SSL

SSL ehk Secure Sockets Layer oli selle protokolli algne nimi, mille Netscape töötas välja 90ndate keskel. SSL 1.0 polnud kunagi avalikult saadaval ja versioonil 2.0 oli tõsiseid vigu. 1996. aastal välja antud SSL 3.0 oli täielik uuendus ja andis tooni järgmiseks arendusfaasiks.

Mis on TLS

Kui protokolli järgmine versioon 1999. aastal välja anti, oli see spetsiaalselt standarditud töögrupp Interneti disaini ja andis sellele uue nime: transpordikihi turvalisus ehk TLS. Nagu TLS-i dokumentatsioonis öeldakse, "erinevus selle protokolli ja SSL 3.0 vahel ei ole kriitiline." TLS ja SSL moodustavad pideva protokollide seeria ja neid kombineeritakse sageli SSL/TLS nime all.

TLS-protokoll krüpteerib igasuguse Interneti-liikluse. Kõige tavalisem tüüp on veebiliiklus. Teate, millal teie brauser loob TLS-ühenduse – kui aadressiribal olev link algab tähega "https".

TLS-i kasutavad ka muud rakendused, näiteks meili- ja telekonverentsisüsteemid.

Kuidas TLS töötab

Turvaliseks võrgus suhtlemiseks on vaja krüpteerimist. Kui teie andmed pole krüptitud, saab igaüks neid analüüsida ja tundlikku teavet lugeda.

Kõige turvalisem krüpteerimismeetod on asümmeetriline krüptimine. Selleks on vaja 2 võtit, 1 avalik ja 1 privaatne. Need on failid, mis sisaldavad teavet, enamasti väga suured numbrid. Mehhanism on keeruline, kuid lihtsalt öeldes saate andmete krüptimiseks kasutada avalikku võtit, kuid see on vajalik privaatvõti nende dekrüpteerimiseks. Kaks võtit on ühendatud keeruka matemaatilise valemi abil, mida on raske häkkida.

Võite mõelda avalikule võtmele kui teabele privaatvõtme asukoha kohta. postkasti auguga ja privaatvõti võtmeks, mis kasti avab. Kes teab, kus kast asub, võib sinna kirja panna. Kuid selle lugemiseks on inimesel vaja võtit, et kasti avada.

Kuna asümmeetriline krüptimine kasutab kompleksi matemaatilised arvutused, nõuab palju arvutusressursse. TLS lahendab selle probleemi, kasutades serveri ja kliendi vahelise suhtluse krüptimiseks asümmeetrilist krüptimist ainult seansi alguses. Server ja klient peavad kokku leppima ühes seansivõtmes, mida nad kaks kasutavad andmepakettide krüptimiseks.

Kutsutakse välja protsess, mille käigus klient ja server lepivad kokku seansivõtmes käepigistus. See on hetk, mil 2 omavahel suhtlevat arvutit tutvustavad end üksteisele.

TLS-i käepigistuse protsess

TLS-i käepigistuse protsess on üsna keeruline. Alltoodud sammud kirjeldavad protsessi üldiselt, et saaksite aru, kuidas see üldiselt töötab.

Klient võtab serveriga ühendust ja taotleb turvalist ühendust. Server vastab šifrite loendiga – krüptitud ühenduste loomiseks mõeldud algoritmikomplektiga –, mida ta teab, kuidas kasutada. Klient võrdleb loendit oma toetatud šifrite loendiga, valib sobiva ja annab serverile teada, millist neist kaks neist kasutavad.
Server pakub oma digitaalne sertifikaat - elektrooniline dokument, mille on allkirjastanud kolmas osapool, mis kontrollib serveri autentsust. Kõige oluline teave sertifikaadis on šifri avalik võti. Klient kinnitab sertifikaadi autentsust.
Kasutades serveri avalikku võtit, loovad klient ja server seansivõtme, mida nad mõlemad kasutavad kogu seansi jooksul side krüptimiseks. Selleks on mitu meetodit. Klient saab kasutada avalikku võtit suvalise numbri krüpteerimiseks, mis saadetakse seejärel serverisse dekrüpteerimiseks ja mõlemad pooled kasutavad seda numbrit seansivõtme loomiseks.

Seansivõti kehtib ainult ühe pideva seansi jaoks. Kui side kliendi ja serveri vahel mingil põhjusel katkeb, on loomiseks vaja uut käepigistust uus võti istungid.

TLS 1.2 ja TLS 1.2 protokollide haavatavused

TLS 1.2 on protokolli kõige levinum versioon. See versioon installis seansi krüpteerimisvalikute algse platvormi. Kuid nagu mõned protokolli varasemad versioonid, võimaldas see protokoll vanemate arvutite toetamiseks kasutada vanemaid krüptimistehnikaid. Kahjuks tõi see kaasa turvaaukude versioonis 1.2, kuna need vanemad krüpteerimismehhanismid muutusid haavatavamaks.

Näiteks TLS 1.2 on muutunud eriti haavatavaks rikkumisrünnakute suhtes, mille puhul ründaja seansi keskel andmepakette kinni püüab ja saadab need pärast nende lugemist või muutmist. Paljud neist probleemidest on esile kerkinud viimase 2 aasta jooksul, mistõttu on nende loomine muutunud kiireloomuliseks uuendatud versioon protokolli.

TLS 1.3

TLS-protokolli versioon 1.3, mis peagi valmib, lahendab paljud haavatavustega seotud probleemid, loobudes pärandkrüpteerimissüsteemide toetamisest.
IN uus versioon on ühilduv varasemad versioonid: Näiteks lülitub ühendus tagasi TLS 1.2-le, kui üks osapooltest ei saa rohkem kasutada uus süsteem krüpteerimine lubatud protokolli algoritmide loendis versioon 1.3. Kuid kui häkker üritab ühenduse rikkumisründes keset seanssi vägivaldselt protokolli versiooni 1.2-le alandada, siis seda toimingut märgatakse ja ühendus katkestatakse.

Kuidas lubada Google Chrome'i ja Firefoxi brauserites TLS 1.3 tuge

Firefox ja Chrome toetavad TLS 1.3, kuid see versioon pole vaikimisi lubatud. Põhjus on selles, et see on praegu ainult mustandi kujul.

Mozilla Firefox

Tippige brauseri aadressiribale about:config. Kinnitage, et mõistate riske.

Avaneb Firefoxi sätete redaktor.
Sisestage otsingusse security.tls.version.max
Muutke seda tehes väärtuseks 4 topeltklõps hiirega praegusele väärtusele.

Google Chrome

Katsete paneeli avamiseks tippige brauseri aadressiribale chrome://flags/.
Otsige üles valik #tls13-variant
Klõpsake menüül ja seadke see valikule Lubatud (Mustand).
Taaskäivitage brauser.

Kuidas kontrollida, kas teie brauser kasutab versiooni 1.2

Tuletame meelde, et versioon 1.3 ei ole veel avalikus kasutuses. Kui sa ei taha
kasutage mustandit, võite jääda versiooni 1.2 juurde.

Kontrollimaks, kas teie brauser kasutab versiooni 1.2, järgige ülaltoodud juhiseid ja veenduge, et:

Firefoxi puhul on security.tls.version.max väärtus 3. Kui see on väiksem, muutke see väärtuseks 3, topeltklõpsates praegusel väärtusel.
Sest Google Chrome: klõpsake brauseri menüül – valige Seaded- vali Kuva täpsemad seaded- mine alla sektsiooni Süsteem ja klõpsake edasi Ava puhverserveri seaded…:

Avanevas aknas klõpsake vahekaarti Turvalisus ja veenduge, et väli Kasuta TLS 1.2 on märgitud. Kui ei, siis kontrollige seda ja klõpsake nuppu OK:

Muudatused jõustuvad pärast arvuti taaskäivitamist.

Kiire tööriist brauseri SSL/TLS-protokolli versiooni kontrollimiseks

Avage SSL Labsi võrguprotokolli versioonikontrolli tööriist. Leht näitab reaalajas kasutatud protokolli versiooni ja seda, kas brauser on haavatav.

Allikad: tõlge