Eroare în Internet Explorer. Asigurați-vă că SSL și TLS sunt activate. Probleme cu protocolul TSL - Nu se poate conecta în siguranță la această pagină Unde se activează tls

În octombrie, inginerii Google au publicat informații despre o vulnerabilitate critică în SSL versiunea 3.0, care a primit un nume amuzant PUDEL(Umplutură Oracle pe criptare moștenită retrogradată sau pudel 🙂). Vulnerabilitatea permite unui atacator să obțină acces la informații criptate cu protocolul SSLv3 folosind un atac „om în mijloc”. Atât serverele, cât și clienții care se pot conecta folosind protocolul SSLv3 sunt vulnerabili la vulnerabilitate.

În general, situația nu este surprinzătoare, pentru că... protocol SSL 3.0, introdus pentru prima dată în 1996, are deja 18 ani și este deja depășit din punct de vedere moral. În majoritatea sarcinilor practice, acesta a fost deja înlocuit cu un protocol criptografic TLS(versiunile 1.0, 1.1 și 1.2).

Pentru a vă proteja împotriva vulnerabilității POODLE, se recomandă să faceți pe deplin dezactivați suportul SSLv3 atât pe partea client, cât și pe partea serveruluiși de acum înainte folosiți numai TLS. Pentru utilizatorii de software vechi (cum ar fi cei care folosesc IIS 6 pe Windows XP), aceasta înseamnă că nu vor mai putea vizualiza pagini HTTPS sau nu vor mai putea folosi alte servicii SSL. Dacă suportul SSLv3 nu este complet dezactivat și este oferită implicit o criptare mai puternică, vulnerabilitatea POODLE va exista în continuare. Acest lucru se datorează particularităților de alegere și de a conveni asupra protocolului de criptare între client și server, deoarece Dacă sunt detectate probleme în utilizarea TLS, are loc o tranziție automată la SSL.

Vă recomandăm să verificați toate serviciile care pot utiliza SSL/TLS sub orice formă și să dezactivați suportul SSLv3. Puteți verifica serverul dvs. web pentru vulnerabilități folosind un test online, de exemplu, aici: http://poodlebleed.com/.

Nota. Este necesar să înțelegem clar că dezactivarea SSL V3 la nivel de sistem va funcționa numai pentru software care utilizează API-urile de sistem pentru criptarea SSL ( Internet Explorer, IIS, SQL NLA, RRAS etc.). Programele care folosesc propriile instrumente cripto (Firefox, Opera etc.) trebuie actualizate și configurate individual.

Dezactivarea SSLv3 în Windows la nivel de sistem

În OS Control Windows suportul pentru protocoalele SSL/TLS este furnizat prin intermediul registrului.

În acest exemplu, vom arăta cum să dezactivați complet SSLv3 la nivel de sistem (atât la nivel de client, cât și la nivel de server) în Windows Server 2012 R2:

Dezactivați SSLv2 (Windows 2008 / Server și mai jos)

Sistemele de operare anterioare Windows 7 / Windows Server 2008 R2 utilizează un protocol și mai puțin sigur și învechit în mod implicit SSL v2, care ar trebui, de asemenea, dezactivat din motive de securitate (mai mult ultimele versiuni Windows, SSLv2 la nivel de client este dezactivat implicit și sunt utilizate numai SSLv3 și TLS1.0). Pentru a dezactiva SSLv2, trebuie să repetați procedura descrisă mai sus, doar pentru cheia de registry SSL 2.0.

Pe Windows 2008/2012, SSLv2 este dezactivat implicit la nivel de client.

Activați TLS 1.1 și TLS 1.2 în Windows Server 2008 R2 și versiuni ulterioare

Windows Server 2008 R2 / Windows 7 și versiuni ulterioare acceptă algoritmii de criptare TLS 1.1 și TLS 1.2, dar aceste protocoale sunt dezactivate implicit. Activați suportul TLS 1.1 și TLS 1.2 în acestea versiuni Windows posibil conform unui scenariu similar

Un utilitar pentru gestionarea protocoalelor criptografice de sistem în Windows Server

Există utilitate gratuită IIS Crypto, care vă permite să gestionați în mod convenabil parametrii protocoalelor criptografice în Windows Server 2003, 2008 și 2012. Folosind acest utilitar, puteți activa sau dezactiva oricare dintre protocoalele de criptare în doar două clicuri.

Programul are deja mai multe șabloane care vă permit să aplicați rapid presetări pentru diferite setări de securitate.

Dacă întâmpinați o problemă în care accesul la un anumit site nu eșuează și apare un mesaj în browser, există o explicație rezonabilă pentru aceasta. Cauzele și soluțiile problemei vor fi prezentate în acest articol.

Protocolul SSL TLS

Utilizatorii organizațiilor bugetare, și nu numai bugetare, ale căror activități sunt direct legate de finanțe, în interacțiune cu organizațiile financiare, de exemplu, Ministerul Finanțelor, Trezoreria etc., își desfășoară toate operațiunile exclusiv folosind protocolul securizat SSL. Practic, în munca lor ei folosesc browser de internet Explorator. In unele cazuri - Mozilla Firefox.

Eroare SSL

Atenția principală la efectuarea acestor operațiuni și a muncii în general este acordată sistemului de securitate: certificate, semnături electronice. Folosit pentru muncă software CryptoPro versiunea curentă. Referitor la probleme cu protocoalele SSL și TLS, Dacă Eroare SSL a apărut, cel mai probabil nu există suport pentru acest protocol.

Eroare TLS

Eroare TLSîn multe cazuri, poate indica și lipsa suportului pentru protocol. Dar... să vedem ce se poate face în acest caz.

Suport protocol SSL și TLS

Deci, când folosind Microsoft Internet Explorer, pentru a vizita un site web prin SSL, se afișează bara de titlu Asigurați-vă că protocoalele ssl și tls sunt activate. În primul rând, trebuie să activați asistența Protocolul TLS 1.0 în Internet Explorer.

Dacă vizitați un site web care rulează Internet Information Services 4.0 sau o versiune ulterioară, Configurare Internet Suportul TLS 1.0 al Explorer vă ajută să vă securizați conexiunea. Desigur, cu condiția ca serverul web la distanță pe care încercați să îl utilizați să accepte acest protocol.

Pentru a face acest lucru în meniu Serviciu selectați echipa Opțiuni Internet.

Pe fila În plus in sectiune Siguranţă, asigurați-vă că sunt bifate următoarele casete de selectare:

Utilizați SSL 2.0
Utilizați SSL 3.0
Utilizați SSL 1.0

Faceți clic pe butonul Aplicați si apoi Bine . Reporniți browserul .

După activarea TLS 1.0, încercați să vizitați din nou site-ul web.

Politica de securitate a sistemului

Dacă tot apar erori cu SSL și TLS Dacă tot nu puteți utiliza SSL, serverul web la distanță probabil nu acceptă TLS 1.0. În acest caz, trebuie să dezactivați politica de sistem care necesită algoritmi conformi cu FIPS.

Pentru a face acest lucru, în Panouri de control selecta Administrare, apoi faceți dublu clic Politica locală de securitate.

ÎN parametri locali securitate, extindeți nodul Politicile localeși apoi faceți clic pe butonul Setări de securitate.

Conform politicii din partea dreaptă a ferestrei, faceți dublu clic Criptografia sistemului: utilizați algoritmi conformi cu FIPS pentru criptare, hashing și semnareși apoi faceți clic pe butonul Dezactivat.

Atenţie!

Modificarea intră în vigoare atunci când politica de securitate locală este reaplicată. Porniți-l și reporniți browserul.

CryptoPro TLS SSL

Actualizați CryptoPro

Una dintre opțiunile pentru a rezolva problema este actualizarea CryptoPro, precum și configurarea resursei. În acest caz, se lucrează cu plăți electronice. Accesați Autoritatea de Certificare. Selectați Piețe electronice ca resursă.

După lansare setări automate locul de muncă, va exista doar așteptați finalizarea procedurii, după care reîncărcați browserul. Dacă trebuie să introduceți sau să selectați o adresă de resursă, selectați-o pe cea de care aveți nevoie. De asemenea, poate fi necesar să reporniți computerul când configurarea este finalizată.

TLS este un succesor al SSL, un protocol care oferă o conexiune fiabilă și sigură între nodurile de pe Internet. Este folosit în dezvoltarea diverșilor clienți, inclusiv browsere și aplicații client-server. Ce este TLS în Internet Explorer?

Un pic despre tehnologie

Toate întreprinderile și organizațiile care se angajează în tranzacții financiare folosesc acest protocol pentru a preveni interceptarea pachetelor și accesul neautorizat al intrușilor. Această tehnologie este concepută pentru a proteja conexiunile importante de atacurile intrușilor.

Practic, organizațiile lor folosesc un browser încorporat. În unele cazuri - Mozilla Firefox.

Activarea sau dezactivarea unui protocol

Uneori este imposibil să accesezi unele site-uri, deoarece suportul pentru tehnologiile SSL și TLS este dezactivat. În browser apare o notificare. Deci, cum puteți activa protocoalele astfel încât să vă puteți bucura în continuare de comunicații securizate?
1.Deschideți Panoul de control prin Start. Un alt mod: deschideți Explorer și faceți clic pe pictograma roată din colțul din dreapta sus.

2. Accesați secțiunea „Opțiuni browser” și deschideți blocul „Avansat”.

3. Bifați casetele de lângă „Utilizați TLS 1.1 și TLS 1.2”.

4. Faceți clic pe OK pentru a salva modificările. Dacă doriți să dezactivați protocoalele, ceea ce nu este recomandat, mai ales dacă utilizați servicii bancare online, debifați aceleași elemente.

Care este diferența dintre 1.0 și 1.1 și 1.2? 1.1 este doar o versiune ușor îmbunătățită a TLS 1.0, care și-a moștenit parțial deficiențele. 1.2 este cea mai sigură versiune a protocolului. Pe de altă parte, nu toate site-urile se pot deschide cu această versiune de protocol activată.

După cum știți, Skype messenger este conectat direct la Internet Explorer ca componenta Windows. Dacă nu aveți bifat protocolul TLS în setări, atunci pot apărea probleme cu Skype. Programul pur și simplu nu se va putea conecta la server.

Dacă suportul TLS este dezactivat în setările Internet Explorer, toate funcțiile legate de rețea ale programului nu vor funcționa. Mai mult, siguranța datelor dumneavoastră depinde de această tehnologie. Nu o neglijați dacă efectuați tranzacții financiare în acest browser (cumpărări în magazine online, transfer de bani prin online banking sau e-wallet etc.).

Protocolul TLS criptează traficul de internet de toate tipurile, făcând astfel comunicarea și vânzările online sigure. Vom vorbi despre cum funcționează protocolul și despre ce ne așteaptă în viitor.

Din articol vei afla:

Ce este SSL

SSL sau Secure Sockets Layer a fost numele original al protocolului pe care Netscape l-a dezvoltat la mijlocul anilor '90. SSL 1.0 nu a fost niciodată disponibil public, iar versiunea 2.0 a avut defecte serioase. SSL 3.0, lansat în 1996, a fost o revizuire completă și a dat tonul pentru următoarea fază de dezvoltare.

Ce este TLS

Când următoarea versiune a protocolului a fost lansată în 1999, a fost standardizată printr-un program special grup de lucru design-ul internetului și i-a dat un nou nume: transport layer security sau TLS. După cum se arată în documentația TLS, „diferența dintre acest protocol și SSL 3.0 nu este critică”. TLS și SSL formează o serie continuă de protocoale și sunt adesea combinate sub numele SSL/TLS.

Protocolul TLS criptează traficul de internet de orice fel. Cel mai comun tip este traficul web. Știți când browserul dvs. stabilește o conexiune TLS - dacă linkul din bara de adrese începe cu „https”.

TLS este utilizat și de alte aplicații, cum ar fi sistemele de e-mail și teleconferințe.

Cum funcționează TLS

Criptarea este necesară pentru a comunica în siguranță online. Dacă datele dvs. nu sunt criptate, oricine le poate analiza și citi informații sensibile.

Cea mai sigură metodă de criptare este criptare asimetrică. Acest lucru necesită 2 chei, 1 publică și 1 privată. Acestea sunt fișiere cu informații, cel mai adesea foarte numere mari. Mecanismul este complex, dar simplu spus, puteți folosi o cheie publică pentru a cripta datele, dar aveți nevoie cheie privată pentru a le decripta. Cele două chei sunt legate folosind o formulă matematică complexă care este greu de piratat.

Vă puteți gândi la o cheie publică ca la informații despre locația unei chei private. cutie poştală cu o gaură și o cheie privată ca cheie care deschide cutia. Oricine știe unde este cutia poate pune o scrisoare acolo. Dar pentru a-l citi, o persoană are nevoie de o cheie pentru a deschide cutia.

Deoarece criptarea asimetrică folosește complex calcule matematice, necesită o mulțime de resurse de calcul. TLS rezolvă această problemă utilizând criptarea asimetrică doar la începutul sesiunii pentru a cripta comunicațiile dintre server și client. Serverul și clientul trebuie să convină asupra unei singure chei de sesiune, pe care ei doi o vor folosi pentru a cripta pachetele de date.

Este apelat procesul prin care clientul și serverul convin asupra unei chei de sesiune strângere de mână. Acesta este momentul în care 2 computere care comunică se prezintă unul altuia.

Procesul de strângere de mână TLS

Procesul de strângere de mână TLS este destul de complex. Pașii de mai jos descriu procesul în general, astfel încât să puteți înțelege cum funcționează în general.

Clientul contactează serverul și solicită o conexiune securizată. Serverul răspunde cu o listă de cifruri – un set algoritmic pentru crearea de conexiuni criptate – pe care știe să le folosească. Clientul compară lista cu lista sa de cifruri acceptate, îl selectează pe cel adecvat și informează serverul pe care îl vor folosi cei doi.
Serverul oferă certificat digital - document electronic, semnat de o terță parte, care verifică autenticitatea serverului. Cel mai mult informatii importanteîn certificat este cheia publică a cifrului. Clientul confirmă autenticitatea certificatului.
Folosind cheia publică a serverului, clientul și serverul stabilesc o cheie de sesiune pe care amândoi o vor folosi pe parcursul sesiunii pentru a cripta comunicațiile. Există mai multe metode pentru aceasta. Clientul poate folosi cheia publică pentru a cripta un număr arbitrar, care este apoi trimis la server pentru a decripta, iar ambele părți folosesc apoi acel număr pentru a stabili cheia de sesiune.

O cheie de sesiune este valabilă doar pentru o sesiune continuă. Dacă, dintr-un anumit motiv, comunicarea dintre client și server este întreruptă, va fi necesară o nouă strângere de mână pentru a stabili cheie nouă sesiuni.

Vulnerabilitățile protocoalelor TLS 1.2 și TLS 1.2

TLS 1.2 este cea mai comună versiune a protocolului. Această versiune a instalat platforma originală a opțiunilor de criptare a sesiunii. Cu toate acestea, la fel ca unele versiuni anterioare ale protocolului, acest protocol a permis utilizarea tehnicilor de criptare mai vechi pentru a susține computere mai vechi. Din păcate, acest lucru a dus la vulnerabilități în versiunea 1.2, deoarece aceste mecanisme de criptare mai vechi au devenit mai vulnerabile.

De exemplu, TLS 1.2 a devenit deosebit de vulnerabil la atacurile de falsificare, în care un atacator interceptează pachetele de date la mijlocul sesiunii și le trimite după ce le citește sau le modifică. Multe dintre aceste probleme au apărut în ultimii 2 ani, așa că a devenit urgent să se creeze versiune actualizată protocol.

TLS 1.3

Versiunea 1.3 a protocolului TLS, care va fi finalizată în curând, rezolvă multe dintre problemele cu vulnerabilități prin abandonarea suportului pentru sistemele de criptare vechi.
ÎN noua versiune este compatibil cu versiunile anterioare: De exemplu, conexiunea va reveni la TLS 1.2 dacă una dintre părți nu reușește să folosească mai mult sistem nou criptare în lista de algoritmi de protocol permisi versiunea 1.3. Cu toate acestea, într-un atac de manipulare a conexiunii, dacă un hacker încearcă forțat să downgradeze versiunea protocolului la 1.2 în mijlocul unei sesiuni, această acțiune va fi observată și conexiunea va fi întreruptă.

Cum să activați suportul TLS 1.3 în browserele Google Chrome și Firefox

Firefox și Chrome acceptă TLS 1.3, dar această versiune nu este activată implicit. Motivul este că în prezent există doar în formă de schiță.

Mozilla Firefox

Tastați about:config în bara de adrese a browserului dvs. Confirmați că înțelegeți riscurile.

Se va deschide Editorul de setări Firefox.
Introduceți security.tls.version.max în căutare
Schimbați valoarea la 4 făcând dublu clic mouse-ul la valoarea curentă.

Google Chrome

Introduceți chrome://flags/ în bara de adrese a browserului pentru a deschide panoul de experimente.
Găsiți opțiunea #tls13-variant
Faceți clic pe meniu și setați-l la Activat (Ciornă).
Reporniți browserul.

Cum să verificați dacă browserul dvs. folosește versiunea 1.2

Vă reamintim că versiunea 1.3 nu este încă în uz public. Daca nu vrei
utilizați schița, puteți rămâne pe versiunea 1.2.

Pentru a verifica dacă browserul dvs. utilizează versiunea 1.2, urmați aceiași pași ca în instrucțiunile de mai sus și asigurați-vă că:

Pentru Firefox, valoarea security.tls.version.max este 3. Dacă este mai mică, schimbați-o la 3 făcând dublu clic pe valoarea curentă.
Pentru Google Chrome: Faceți clic pe meniul browserului - selectați Setări- selectați Afișează setările avansate- coboara la sectiune Sistemși faceți clic pe Deschideți setările proxy...:

În fereastra care se deschide, faceți clic pe fila Securitate și asigurați-vă că este bifat câmpul Utilizați TLS 1.2. Dacă nu, verificați-l și faceți clic pe OK:

Modificările vor intra în vigoare după ce reporniți computerul.

Un instrument rapid pentru a verifica versiunea protocolului SSL/TLS a browserului dvs

Accesați instrumentul de verificare a versiunilor de protocol online SSL Labs. Pagina va afișa în timp real versiunea protocolului utilizat și dacă browserul este susceptibil la vreo vulnerabilitate.

Surse: traducere