Kako onemogućiti tls 1.2 protokol. Zaštita Windowsa od ranjivosti u SSL v3. Kako popraviti disfunkciju: koriste se nepouzdane TLS sigurnosne postavke

Sva naša razmišljanja temelje se na činjenici da koristite Windows XP ili noviji (Vista, 7 ili 8), koji ima instalirana sva odgovarajuća ažuriranja i zakrpe. Sada još jedan uvjet: govorimo o najnovijim verzijama preglednika danas, a ne o "sferičnom Ognelisu u vakuumu".

Dakle, konfiguriramo preglednike da koriste trenutne verzije TLS protokola i da uopće ne koriste njegove zastarjele verzije i SSL. U svakom slučaju, koliko je to u teoriji moguće.

Teorija nam govori da iako Internet Explorer podržava TLS 1.1 i 1.2 od verzije 8, pod Windows XP i Vistom ga nećemo prisiljavati da to čini. Kliknite: Tools / Internet Options / Advanced iu odjeljku "Security" nalazimo: SSL 2.0, SSL 3.0, TLS 1.0 ... pronašli ste još nešto? Čestitamo, imat ćete TLS 1.1/1.2! Not found - imate Windows XP ili Vista, a u Redmondu vas smatraju zaostalim.

Dakle, uklanjamo kvačice sa svih SSL-ova, stavljamo ih na sve dostupne TLS-ove. Ako je dostupan samo TLS 1.0, neka tako i bude, ako ima više ažuriranih verzija, bolje je odabrati samo njih i poništiti TLS 1.0 (da se ne biste kasnije iznenadili da se neke stranice ne otvaraju preko HTTPS-a) . Zatim kliknite gumbe "Primijeni", "U redu".

S Operom je lakše - ona nam priređuje pravi banket različitih verzija protokola: Alati / Opće postavke / Napredno / Sigurnost / Sigurnosni protokoli. Što vidimo? Cijeli set, iz kojeg ostavljamo potvrdne okvire samo za TLS 1.1 i TLS 1.2, nakon čega kliknemo na gumb "Detalji" i tu poništimo sve retke osim onih koji počinju sa "256 bit AES" - oni su na samom kraj. Na početku popisa nalazi se red "256 bit AES ( Anonimno DH/SHA-256), poništite i to. Pritisnite "OK" i uživajte u sigurnosti.

Međutim, Opera ima jedno čudno svojstvo: ako je TLS 1.0 omogućen, onda ako je potrebno uspostaviti sigurnu vezu, odmah koristi ovu određenu verziju protokola, bez obzira na to podržava li stranica novije. Kao, zašto se naprezati - i sve je u redu, sve je zaštićeno. Kada omogućite samo TLS 1.1 i 1.2, prvo će pokušati koristiti napredniju verziju, a tek ako je stranica ne podržava, preglednik će se prebaciti na verziju 1.1.

Ali sferični Ognelis Firefox neće nam se nimalo svidjeti: Alati / Postavke / Napredno / Šifriranje: sve što možemo učiniti je isključiti SSL, TLS je dostupan samo u verziji 1.0, nema što učiniti - ostavljamo ga kvačicom.

Međutim, loše se uči u usporedbi: Chrome i Safari uopće ne sadrže nikakve postavke, koji protokol šifriranja koristiti. Koliko znamo, Safari ne podržava TLS verzije novije od 1.0 u verzijama pod Windowsima, a budući da je obustavljeno izdavanje novih verzija za ovaj OS, neće.

Chrome, koliko znamo, podržava TLS 1.1, ali, kao iu slučaju Safarija, ne možemo odbiti korištenje SSL-a. Onemogućavanje TLS 1.0 u Chromeu također nije način. Ali sa stvarnom upotrebom TLS 1.1 - veliko pitanje: prvo je bio uključen, zatim isključen zbog problema u radu i, koliko se može reći, još nije ponovno uključen. Odnosno, čini se da podrška postoji, ali je, takoreći, isključena i ne postoji način da je ponovno uključite samom korisniku. Ista priča s Firefoxom - podrška za TLS 1.1 u njemu, zapravo, postoji, ali još nije dostupna korisniku.

Sažetak iz gornjeg polislova. Koja je opasnost od korištenja zastarjelih verzija protokola šifriranja? Činjenica da će netko drugi ući u vašu sigurnu vezu sa stranicom i dobiti pristup svim informacijama "tamo" i "tamo". U praktičnom smislu, dobit će puni pristup pretincu e-pošte, računu u sustavu klijent-banka itd.

Malo je vjerojatno da će biti moguće slučajno ući u tuđu sigurnu vezu, govorimo samo o zlonamjernim radnjama. Ako je vjerojatnost takvih radnji niska ili informacije koje se prenose putem sigurne veze nemaju posebnu vrijednost, tada se ne možete truditi i koristiti preglednike koji podržavaju samo TLS 1.0.

U suprotnom, nema izbora: samo Opera i samo TLS 1.2 (TLS 1.1 samo je poboljšanje TLS-a 1.0, djelomično nasljeđujući njegove sigurnosne probleme). Međutim, naše omiljene stranice možda ne podržavaju TLS 1.2 :(

Ovaj kôd pogreške obično se pojavljuje na zaslonu kada posjetite službenu ili vladinu web stranicu. Upečatljiv primjer je službeni portal EIS-a. Moguće je da su zastarjele ili nesigurne postavke TSL protokola uzrok kvara. Ovo je vrlo čest problem. Korisnici se s njim suočavaju dulje vrijeme. Sada shvatimo što je točno uzrokovalo ovu pogrešku i kako je popraviti.

Sigurnost povezivanja s internetskim stranicama osigurana je korištenjem posebnih enkripcijskih protokola – SSL i TSL. Oni pružaju zaštitu za prijenos informacija. Protokoli su izgrađeni na korištenju simetričnih i asimetričnih alata za šifriranje. Također se koriste kodovi za provjeru autentičnosti poruka i druge opcije. Zajedno, ove mjere vam omogućuju da veza ostane anonimna, tako da su treće strane lišene mogućnosti dešifriranja sesije.

Kada se u pregledniku pojavi pogreška koja najavljuje probleme s TSL protokolom, to znači da web stranica koristi netočne parametre. Stoga veza doista nije sigurna. Pristup portalu je automatski blokiran.

Najčešće korisnici koji rade putem preglednika Internet Explorer nailaze na pogrešku. Postoji nekoliko razloga za ovaj neuspjeh, naime:

antivirusni program blokira vezu s web mjestom;
verzija uslužnog programa CryptoPro je zastarjela;
povezivanje s portalom provodi se putem VPN-a;
netočne postavke preglednika Internet Explorer;
u BIOS-u je aktivirana funkcija "SecureBoot";
na računalu postoje zaražene datoteke, virusi.

Otkrili smo razloge pogreške. Vrijeme je da analiziramo moguće načine rješavanja problema.

Upute za rješavanje problema

Ako pogreška nije nestala, vrijeme je da isprobate alternativne metode:

Praksa pokazuje da svaki od navedenih savjeta može riješiti problem. Stoga samo slijedite upute.

Zaključak

Stručnjaci uvjeravaju da se dotični softverski kvar pojavljuje zbog antivirusa instaliranog na računalu korisnika. Iz nekog razloga program blokira pristup web stranici. Stoga prvo samo onemogućite antivirusni program, promijenite postavke provjere certifikata. Vjerojatno je da će to riješiti problem. Ako pogreška nije nestala, isprobajte svaki od gornjih savjeta. Kao rezultat toga, sigurnosni problem TSL protokola bit će apsolutno riješen.

Ako imate problema s neuspješnim pristupom određenoj web stranici i pojavi se poruka u vašem pregledniku, za to postoji razumno objašnjenje. Uzroci i rješenja problema navedeni su u ovom članku.

SSL TLS

SSL TLS protokol

Korisnici proračunskih organizacija, i ne samo proračunskih, čija je djelatnost izravno vezana uz financije, u suradnji s financijskim organizacijama, primjerice Ministarstvom financija, Riznicom i dr., sve svoje poslove obavljaju isključivo korištenjem sigurnog SSL protokola. . Uglavnom, u svom radu koriste preglednik Internet Explorer. U nekim slučajevima Mozilla Firefox.

SSL greška

Glavna pažnja pri obavljanju ovih poslova, ali i poslova općenito, pridaje se sustavu zaštite: certifikati, elektronički potpisi. Za rad se koristi CryptoPro softver trenutne verzije. O problema sa SSL i TLS protokolima, ako SSL greška pojavio, najvjerojatnije nema podrške za ovaj protokol.

TLS greška

TLS greška u mnogim slučajevima također može ukazivati na nedostatak podrške za protokol. Ali ... da vidimo što se može učiniti u ovom slučaju.

Podrška za SSL i TLS protokole

Dakle, kada koristite Microsoft Internet Explorer za posjet web stranici preko SSL-a, prikazuje se naslovna traka Provjerite jesu li ssl i tls omogućeni. Prije svega, morate omogućiti podršku za TLS 1.0 protokol u Internet Exploreru.

Ako posjećujete web mjesto koje pokreće Internet Information Services 4.0 ili noviju verziju, konfiguracija Internet Explorera za podršku TLS 1.0 pomaže u zaštiti vaše veze. Naravno, pod uvjetom da udaljeni web poslužitelj koji pokušavate koristiti podržava ovaj protokol.

Da biste to učinili, izbornik Servis odaberite tim Internet opcije.

Na kartici Dodatno u odjeljku Sigurnost, provjerite jesu li odabrani sljedeći potvrdni okviri:

Koristite SSL 2.0
Koristite SSL 3.0
Koristite TLS 1.0

Pritisnite gumb primijeniti , i onda u redu . Ponovno pokrenite preglednik .

Nakon što omogućite TLS 1.0, pokušajte ponovno posjetiti web stranicu.

Politika sigurnosti sustava

Ako ih još ima greške sa SSL i TLS ako i dalje ne možete koristiti SSL, udaljeni web poslužitelj vjerojatno ne podržava TLS 1.0. U tom slučaju morate onemogućiti sistemsku politiku koja zahtijeva algoritme kompatibilne sa FIPS-om.

Da biste to učinili, u Upravljačke ploče Izaberi administracija, a zatim dvaput kliknite Lokalna sigurnosna politika.

U lokalnim sigurnosnim postavkama proširite čvor Lokalne politike, a zatim kliknite gumb Sigurnosne opcije.

U skladu s politikom na desnoj strani prozora dvaput kliknite Kriptografija sustava: koristite algoritme usklađene s FIPS-om za šifriranje, raspršivanje i potpisivanje, a zatim kliknite gumb Onemogućeno.

Pažnja! Promjena stupa na snagu nakon ponovne primjene lokalne sigurnosne politike. To je Uključite ga i ponovno pokrenite preglednik .

CryptoPro TLS SSL

Ažurirajte CryptoPro

Konfiguriranje SSL TLS-a

Konfiguracija mreže

Druga opcija bi mogla biti onemogućite NetBIOS preko TCP/IP-a- nalazi se u svojstvima veze.

Registriranje DLL-a

Pokrenite naredbeni redak kao administrator i unesite naredbu regsvr32 cpcng. Za 64-bitni OS, morate koristiti regsvr32 koji se nalazi u syswow64.

SSL TLS protokol

SSL greška

TLS greška

TLS greška u mnogim slučajevima također može ukazivati na nedostatak podrške za protokol. Ali ... da vidimo što se može učiniti u ovom slučaju.

Podrška za SSL i TLS protokole

Da biste to učinili, izbornik Servis odaberite tim Internet opcije.

Na kartici Dodatno u odjeljku Sigurnost, provjerite jesu li odabrani sljedeći potvrdni okviri:

Koristite SSL 2.0
Koristite SSL 3.0
Koristite SSL 1.0

Pritisnite gumb primijeniti , i onda u redu . Ponovno pokrenite preglednik .

Nakon što omogućite TLS 1.0, pokušajte ponovno posjetiti web stranicu.

Politika sigurnosti sustava

Da biste to učinili, u Upravljačke ploče Izaberi administracija, a zatim dvaput kliknite Lokalna sigurnosna politika.

U lokalnim sigurnosnim postavkama proširite čvor Lokalne politike, a zatim kliknite gumb Sigurnosne opcije.

Pažnja!

Promjena stupa na snagu nakon ponovne primjene lokalne sigurnosne politike. Uključite ga, ponovno pokrenite preglednik.

CryptoPro TLS SSL

Ažurirajte CryptoPro

Jedna od opcija za rješavanje problema je ažuriranje CryptoPro-a, kao i postavljanje resursa. U ovom slučaju radi se o radu s elektroničkim plaćanjem. Idite do Tijela za izdavanje certifikata. Za resurs odaberite E-tržnice.

Nakon pokretanja automatskog postavljanja radnog mjesta, bit će samo pričekajte da se postupak završi, onda ponovno pokrenite preglednik. Ako trebate unijeti ili odabrati adresu izvora, odaberite onu koja vam je potrebna. Možda ćete morati ponovno pokrenuti računalo nakon završetka postavljanja.

U listopadu su Googleovi inženjeri objavili informacije o kritičnoj ranjivosti u SSL verzija 3.0 sa smiješnim imenom PUDLICA(Padding Oracle On Downgraded Legacy Encryption ili Poodle 🙂). Ranjivost omogućuje napadaču pristup informacijama šifriranim SSLv3 protokolom korištenjem napada "čovjek u sredini". Ranjivosti utječu i na poslužitelje i na klijente koji se mogu povezati pomoću SSLv3 protokola.

Općenito, situacija nije iznenađujuća, jer. protokol SSL 3.0, prvi put predstavljen davne 1996. godine, star je već 18 godina i moralno je zastario. U većini praktičnih zadataka već je zamijenjen kriptografskim protokolom TLS(verzije 1.0, 1.1 i 1.2).

Za zaštitu od ranjivosti POODLE, u potpunosti se preporučuje onemogućite SSLv3 podršku i na strani klijenta i na strani poslužitelja a zatim koristiti samo TLS. Za korisnike naslijeđenog softvera (na primjer, one koji koriste IIS 6 u sustavu Windows XP), to znači da više neće moći vidjeti HTTPS stranice i koristiti druge SSL usluge. U slučaju da SSLv3 podrška nije potpuno onemogućena, a jača enkripcija je ponuđena prema zadanim postavkama, POODLE ranjivost će se i dalje pojaviti. To je zbog osobitosti izbora i pregovaranja protokola šifriranja između klijenta i poslužitelja, jer kada se otkriju problemi u korištenju TLS-a, dolazi do automatskog prijelaza na SSL.

Preporučujemo da provjerite sve svoje usluge koje mogu koristiti SSL/TLS u bilo kojem obliku i onemogućite podršku za SSLv3. Možete provjeriti ima li na vašem web poslužitelju ranjivosti pomoću online testa, na primjer, ovdje: http://poodlebleed.com/.

Bilješka. Mora biti jasno da će onemogućavanje SSL v3 na razini sustava funkcionirati samo za softver koji koristi API-je sustava za SSL enkripciju (Internet Explorer, IIS, SQL NLA, RRAS itd.). Programi koji koriste vlastite kripto alate (Firefox, Opera, itd.) moraju se ažurirati i konfigurirati pojedinačno.

Onemogućite SSLv3 u sustavu Windows na razini sustava

U sustavu Windows podrškom za SSL/TLS upravlja se putem registra.

U ovom primjeru pokazat ćemo kako u potpunosti onemogućiti SSLv3 na razini sustava (na razini klijenta i poslužitelja) u sustavu Windows Server 2012 R2:

Onemogući SSLv2 (Windows 2008 / poslužitelj i starije verzije)

U operativnim sustavima prije Windows 7 / Windows Server 2008 R2, prema zadanim postavkama koristi se još manje siguran i zastarjeli protokol SSLv2, koji također treba biti onemogućen iz sigurnosnih razloga (na novijim verzijama Windowsa, SSLv2 na razini klijenta je onemogućen prema zadanim postavkama i koriste se samo SSLv3 i TLS1.0). Da biste onemogućili SSLv2, morate ponoviti gornji postupak, samo za ključ registra SSL 2.0.

U sustavu Windows 2008/2012 SSLv2 na razini klijenta onemogućen je prema zadanim postavkama.

Omogućite TLS 1.1 i TLS 1.2 na Windows Server 2008 R2 i novijim verzijama

Windows Server 2008 R2 / Windows 7 i noviji podržavaju algoritme šifriranja TLS 1.1 i TLS 1.2, ali ti su protokoli prema zadanim postavkama onemogućeni. Možete omogućiti podršku za TLS 1.1 i TLS 1.2 u ovim verzijama sustava Windows koristeći sličan scenarij

Uslužni program za upravljanje kriptografskim protokolima sustava u sustavu Windows Server

Postoji besplatni uslužni program IIS Crypto koji vam omogućuje jednostavno upravljanje parametrima kriptografskih protokola u sustavima Windows Server 2003, 2008 i 2012. Pomoću ovog uslužnog programa možete omogućiti ili onemogućiti bilo koji od protokola za šifriranje u samo dva klika.

Program već ima nekoliko predložaka koji vam omogućuju brzu primjenu unaprijed postavljenih postavki za različite opcije sigurnosnih postavki.