###
  • Programi
  • Sigurnost
  • Vijesti
  • Zanimljiv
  • Savjet
  • Vijesti
  • Recenzije

    • Kako omogućiti tls 1.0 protokol. Prijava nije uspjela. Planiranje proračuna - elektronički proračun (prijava s certifikatom). Ova stranica se ne može prikazati. Omogućite TLS protokole. Što je SSL

    25.05.2021 Recenzije

    TLS je nasljednik SSL-a, protokola koji pruža pouzdanu i sigurnu vezu između čvorova na Internetu. Koristi se u razvoju raznih klijenata, uključujući preglednike i klijent-poslužiteljske aplikacije. Što je TLS u Internet Exploreru?

    Malo o tehnologiji

    Sva poduzeća i organizacije koje se bave financijskim transakcijama koriste ovaj protokol kako bi se spriječilo prisluškivanje paketa i neovlašteni pristup uljeza. Ova je tehnologija osmišljena za zaštitu važnih veza od napada uljeza.

    U osnovi, njihove organizacije koriste ugrađeni preglednik. U nekim slučajevima - Mozilla Firefox.

    Omogućavanje ili onemogućavanje protokola

    Ponekad je nemoguće pristupiti nekim stranicama jer je onemogućena podrška za SSL i TLS tehnologije. U pregledniku se pojavljuje obavijest. Dakle, kako možete omogućiti protokole da nastavite uživati ​​u sigurnim komunikacijama?
    1.Otvorite upravljačku ploču putem Starta. Drugi način: otvorite Explorer i kliknite na ikonu zupčanika u gornjem desnom kutu.

    2.Idite na odjeljak "Mogućnosti preglednika" i otvorite blok "Napredno".

    3. Označite okvire pored "Koristi TLS 1.1 i TLS 1.2."

    4. Kliknite OK za spremanje promjena. Ako želite onemogućiti protokole, što nije preporučljivo, pogotovo ako koristite internet bankarstvo, poništite iste stavke.

    Koja je razlika između 1.0 i 1.1 i 1.2? 1.1 samo je malo poboljšana verzija TLS-a 1.0, koja je djelomično naslijedila njegove nedostatke. 1.2 je najsigurnija verzija protokola. S druge strane, ne mogu se sve stranice otvoriti s omogućenom ovom verzijom protokola.

    Kao što znate, Skype messenger izravno je povezan s Internet Explorerom kao Windows komponenta. Ako u postavkama nemate označen TLS protokol, mogu nastati problemi sa Skypeom. Program se jednostavno neće moći spojiti na poslužitelj.

    Ako je podrška za TLS onemogućena u postavkama Internet Explorera, sve mrežne funkcije programa neće raditi. Štoviše, sigurnost vaših podataka ovisi o ovoj tehnologiji. Nemojte ga zanemariti ako u ovom pregledniku obavljate financijske transakcije (kupnje u online trgovinama, prijenos novca putem internetskog bankarstva ili e-novčanika i sl.).

    Ako se susrećete s problemom kada pristup određenoj web stranici ne uspijeva i poruka se pojavljuje u vašem pregledniku, za to postoji razumno objašnjenje. Uzroci i rješenja problema navedeni su u ovom članku.

    SSL TLS protokol

    Korisnici proračunskih organizacija, i ne samo proračunskih, čije je djelovanje izravno vezano uz financije, u interakciji s financijskim organizacijama, primjerice Ministarstvom financija, Riznicom i dr., sve svoje poslove obavljaju isključivo korištenjem sigurnog SSL protokola. Uglavnom, u svom radu koriste Internet preglednik Istraživač. U nekim slučajevima - Mozilla Firefox.

    SSL greška

    Glavna pažnja pri obavljanju ovih poslova, ali i rada općenito, posvećuje se sigurnosnom sustavu: certifikatima, elektronički potpisi. Korišten za rad softver CryptoPro trenutna verzija. O problemi sa SSL i TLS protokolima, Ako SSL greška pojavio, najvjerojatnije nema podrške za ovaj protokol.

    TLS greška

    TLS greška u mnogim slučajevima također može ukazivati ​​na nedostatak podrške za protokol. Ali... da vidimo što se može učiniti u ovom slučaju.

    Podrška za SSL i TLS protokol

    Dakle, prilikom korištenja Microsoft Internet Explorer za posjet web stranici zaštićenoj SSL-om, prikazuje se naslovna traka Provjerite jesu li ssl i tls protokoli omogućeni. Prije svega, morate omogućiti podršku za TLS 1.0 protokol u Internet Exploreru.

    Ako posjećujete web mjesto s Internet Information Services 4.0 ili novijim, Postavljanje interneta Explorerova podrška za TLS 1.0 pomaže u zaštiti vaše veze. Naravno, pod uvjetom da udaljeni web poslužitelj koji pokušavate koristiti podržava ovaj protokol.

    Da biste to učinili u izborniku Servis odaberite tim Internet opcije.

    Na kartici Dodatno U poglavlju Sigurnost, provjerite jesu li odabrani sljedeći potvrdni okviri:

    • Koristite SSL 2.0
    • Koristite SSL 3.0
    • Koristite SSL 1.0

    Pritisnite gumb primijeniti , i onda u redu . Ponovno pokrenite preglednik .

    Nakon što omogućite TLS 1.0, pokušajte ponovno posjetiti web stranicu.

    Politika sigurnosti sustava

    Ako se ipak pojave greške sa SSL i TLS Ako i dalje ne možete koristiti SSL, udaljeni web poslužitelj vjerojatno ne podržava TLS 1.0. U tom slučaju morate onemogućiti sistemsku politiku koja zahtijeva algoritme kompatibilne sa FIPS-om.

    Da biste to učinili, u Upravljačke ploče Izaberi administracija, a zatim dvaput kliknite Lokalna sigurnosna politika.

    U lokalni parametri sigurnost, proširite čvor Lokalne politike a zatim kliknite gumb Sigurnosne postavke.

    U skladu s politikom na desnoj strani prozora dvaput kliknite Kriptografija sustava: koristite algoritme usklađene s FIPS-om za šifriranje, raspršivanje i potpisivanje a zatim kliknite gumb Onemogućeno.

    Pažnja!

    Promjena stupa na snagu nakon ponovne prijave lokalna politika sigurnosti. Uključite ga i ponovno pokrenite preglednik.

    CryptoPro TLS SSL

    Ažurirajte CryptoPro

    Jedna od opcija za rješavanje problema je ažuriranje CryptoPro-a, kao i konfiguracija resursa. U ovom slučaju radi se o radu s elektroničkim plaćanjem. Idite do Tijela za izdavanje certifikata. Odaberite Elektronička tržišta kao resurs.

    Nakon pokretanja automatskog postavljanja radnog mjesta, sve što preostaje jest pričekajte da se postupak završi, onda ponovno učitaj preglednik. Ako trebate unijeti ili odabrati adresu izvora, odaberite onu koja vam je potrebna. Možda ćete također trebati ponovno pokrenuti računalo kada postavljanje završi.

    TLS protokol kriptira internetski promet svih vrsta, čime komunikacija i prodaja putem interneta postaju sigurni. Razgovarat ćemo o tome kako protokol funkcionira i što nas čeka u budućnosti.

    Iz članka ćete naučiti:

    Što je SSL

    SSL ili Secure Sockets Layer bio je izvorni naziv protokola koji je Netscape razvio sredinom 90-ih. SSL 1.0 nikada nije bio javno dostupan, a verzija 2.0 imala je ozbiljne nedostatke. SSL 3.0, objavljen 1996., bio je potpuni remont i postavio je ton za sljedeću fazu razvoja.

    Što je TLS

    Kada je sljedeća verzija protokola objavljena 1999. godine, standardizirana je posebnim radna skupina dizajn Interneta i dao mu novo ime: sigurnost transportnog sloja ili TLS. Kao što TLS dokumentacija navodi, "razlika između ovog protokola i SSL 3.0 nije kritična." TLS i SSL čine kontinuirani niz protokola i često se kombiniraju pod nazivom SSL/TLS.

    TLS protokol kriptira internetski promet bilo koje vrste. Najčešći tip je web promet. Znate kada vaš preglednik uspostavi TLS vezu - ako veza u adresnoj traci počinje s "https".

    TLS također koriste druge aplikacije, kao što su sustavi za poštu i telekonferencije.

    Kako TLS radi

    Enkripcija je neophodna za sigurnu online komunikaciju. Ako vaši podaci nisu šifrirani, svatko ih može analizirati i čitati osjetljive informacije.

    Najsigurniji način šifriranja je asimetrična enkripcija. Ovo zahtijeva 2 ključa, 1 javni i 1 privatni. To su datoteke s podacima, najčešće vrlo velikim brojevima. Mehanizam je složen, ali jednostavno rečeno, možete koristiti javni ključ za šifriranje podataka, ali vam je potreban privatni ključ za dešifriranje. Dva su ključa povezana pomoću složene matematičke formule koju je teško hakirati.

    Javni ključ možete zamisliti kao informaciju o lokaciji privatnog ključa. poštanski sandučić s rupom, te privatni ključ kao ključ koji otvara kutiju. Svatko tko zna gdje je kutija može tamo staviti pismo. Ali da bi ga pročitao, čovjek treba ključ za otvaranje kutije.

    Budući da asimetrična enkripcija koristi složene matematičke izračune, zahtijeva puno računalnih resursa. TLS rješava ovaj problem korištenjem asimetrične enkripcije samo na početku sesije za šifriranje komunikacije između poslužitelja i klijenta. Poslužitelj i klijent moraju se dogovoriti o jednom ključu sesije, koji će njih dvoje koristiti za šifriranje paketa podataka.

    Poziva se proces kojim se klijent i poslužitelj slažu oko ključa sesije stisak ruke. Ovo je trenutak kada se dva komunicirajuća računala predstavljaju jedno drugom.

    TLS postupak rukovanja

    Proces TLS rukovanja prilično je složen. Koraci u nastavku prikazuju općenito proces kako biste mogli razumjeti kako općenito funkcionira.

    1. Klijent kontaktira poslužitelj i zahtijeva sigurnu vezu. Poslužitelj odgovara popisom šifara — algoritamskim skupom za stvaranje šifriranih veza — koje zna kako koristiti. Klijent uspoređuje popis sa svojim popisom podržanih šifri, odabire odgovarajuću i daje poslužitelju do znanja koju će njih dvojica koristiti.
    2. Poslužitelj pruža svoje digitalni certifikat - elektronički dokument, potpisan od strane treće strane, čime se potvrđuje autentičnost poslužitelja. Najviše važna informacija u certifikatu je javni ključ šifre. Klijent potvrđuje autentičnost certifikata.
    3. Koristeći javni ključ poslužitelja, klijent i poslužitelj uspostavljaju ključ sesije koji će obojica koristiti tijekom cijele sesije za šifriranje komunikacije. Za to postoji nekoliko metoda. Klijent može koristiti javni ključ za šifriranje proizvoljnog broja, koji se zatim šalje poslužitelju za dešifriranje, a obje strane zatim koriste taj broj za uspostavljanje ključa sesije.

    Ključ sesije vrijedi samo za jednu kontinuiranu sesiju. Ako se iz nekog razloga komunikacija između klijenta i poslužitelja prekine, za uspostavu će biti potrebno novo rukovanje novi ključ sjednice.

    Ranjivosti protokola TLS 1.2 i TLS 1.2

    TLS 1.2 je najčešća verzija protokola. Ova je verzija instalirala izvornu platformu opcija šifriranja sesije. Međutim, kao i neke prethodne verzije protokola, ovaj je protokol dopuštao korištenje starijih tehnika šifriranja za podršku starijim računalima. Nažalost, to je dovelo do ranjivosti u verziji 1.2 jer su ti stariji mehanizmi šifriranja postali ranjiviji.

    Na primjer, TLS 1.2 postao je posebno ranjiv na napade neovlaštenog mijenjanja, u kojima napadač presreće pakete podataka usred sesije i šalje ih nakon što ih je pročitao ili izmijenio. Mnogi od ovih problema pojavili su se tijekom posljednje 2 godine, zbog čega je hitno potrebno izraditi ažuriranu verziju protokola.

    TLS 1.3

    Verzija 1.3 TLS protokola, koja će uskoro biti finalizirana, rješava mnoge probleme s ranjivostima napuštanjem podrške za naslijeđene sustave šifriranja.
    U nova verzija je kompatibilan sa prethodne verzije: Na primjer, veza će se vratiti na TLS 1.2 ako jedna od strana ne može koristiti više novi sustav enkripcija na popisu dopuštenih algoritama protokola verzija 1.3. Međutim, u napadu ometanja veze, ako haker nasilno pokuša vratiti verziju protokola na 1.2 usred sesije, ta će se radnja primijetiti i veza će biti prekinuta.

    Kako omogućiti podršku za TLS 1.3 u preglednicima Google Chrome i Firefox

    Firefox i Chrome podržavaju TLS 1.3, ali ova verzija nije omogućena prema zadanim postavkama. Razlog je taj što trenutno postoji samo u obliku nacrta.

    Mozilla Firefox

    Upišite about:config u adresnu traku preglednika. Potvrdite da razumijete rizike.

    1. Otvorit će se uređivač postavki Firefoxa.
    2. Unesite security.tls.version.max u pretraživanje
    3. Promijenite vrijednost na 4 radeći dvostruki klik mišem na trenutnu vrijednost.



    Google Chrome

    1. Upišite chrome://flags/ u adresnu traku preglednika da biste otvorili ploču s eksperimentima.
    2. Pronađite opciju #tls13-varijanta
    3. Kliknite na izbornik i postavite ga na Omogućeno (skica).
    4. Ponovno pokrenite preglednik.

    Kako provjeriti koristi li vaš preglednik verziju 1.2

    Podsjećamo da verzija 1.3 još nije u javnoj uporabi. Ako ne želiš
    koristite nacrt, možete ostati na verziji 1.2.

    Da biste provjerili koristi li vaš preglednik verziju 1.2, slijedite iste korake kao u gornjim uputama i provjerite sljedeće:

    • Za Firefox vrijednost security.tls.version.max je 3. Ako je niža, promijenite je na 3 dvostrukim klikom na trenutnu vrijednost.
    • Za Google Chrome: Kliknite na izbornik preglednika - odaberite postavke- Izaberi Prikaži napredne postavke- idite dolje do odjeljka Sustav i kliknite na Otvori proxy postavke…:

    • U prozoru koji se otvori kliknite na karticu Sigurnost i provjerite je li označeno polje Koristi TLS 1.2. Ako nije, označite i kliknite OK:


    Promjene će stupiti na snagu nakon ponovnog pokretanja računala.

    Brzi alat za provjeru verzije SSL/TLS protokola vašeg preglednika

    Idite na online alat za provjeru verzije protokola SSL Labs. Stranica će u stvarnom vremenu pokazati koja se verzija protokola koristi i je li preglednik osjetljiv na bilo kakve ranjivosti.

    Izvori: prijevod

    Problem

    Prilikom pokušaja prijave Osobni prostor Pojavljuje se poruka o pogrešci GIIS-a "Elektronički proračun":

    Ova stranica se ne može prikazati

    Upaliti TLS protokoli 1.0, TLS 1.1 i TLS 1.2 u odjeljku " Dodatne mogućnosti"i ponovno se pokušajte spojiti na web stranicu https://ssl.budgetplan.minfin.ru. Ako ne možete riješiti pogrešku, obratite se administratoru web stranice.

    Riješenje

    Potrebno je provjeriti postavke radnog mjesta prema dokumentu.

    Upute ne spominju nekoliko nijansi:

    1. Morate instalirati CryptoPro EDS dodatak za preglednik i provjerite njegov rad na demo stranici.
    2. Potrebno je onemogućiti filtriranje SSL/TLS protokola u antivirusnim postavkama, drugim riječima, za stranicu koju tražite trebate napraviti iznimku za provjeru sigurne veze. Može se drugačije zvati u različitim antivirusima. Na primjer, trebate otići na Kaspersky Free “Postavke>Napredno>Mreža>Ne provjeravaj sigurne veze” .

    U listopadu su Googleovi inženjeri objavili informacije o kritičnoj ranjivosti u SSL verzija 3.0, koji je dobio smiješno ime PUDLICA(Padding Oracle On Downgraded Legacy Encryption ili pudlica 🙂). Ranjivost omogućuje napadaču pristup informacijama šifriranim SSLv3 protokolom koristeći napad "čovjek u sredini". I poslužitelji i klijenti koji se mogu povezati pomoću SSLv3 protokola ranjivi su na ranjivost.

    Općenito, situacija nije iznenađujuća, jer... protokol SSL 3.0, prvi put predstavljen davne 1996. godine, već je star 18 godina i već je moralno zastario. U većini praktičnih zadataka već je zamijenjen kriptografskim protokolom TLS(verzije 1.0, 1.1 i 1.2).

    Kako biste se zaštitili od ranjivosti POODLE, preporuča se potpuno onemogućite SSLv3 podršku i na strani klijenta i na strani poslužitelja i ubuduće koristiti samo TLS. Za korisnike naslijeđenog softvera (kao što su oni koji koriste IIS 6 u sustavu Windows XP), to znači da više neće moći vidjeti HTTPS stranice ili koristiti druge SSL usluge. Ako podrška za SSLv3 nije u potpunosti onemogućena i ako je prema zadanim postavkama ponuđena jača enkripcija, ranjivost POODLE će i dalje postojati. To je zbog osobitosti odabira i dogovora o protokolu šifriranja između klijenta i poslužitelja, jer Ako se otkriju problemi u korištenju TLS-a, dolazi do automatskog prijelaza na SSL.

    Preporučujemo da provjerite sve svoje usluge koje mogu koristiti SSL/TLS u bilo kojem obliku i onemogućite podršku za SSLv3. Možete provjeriti ima li na vašem web poslužitelju ranjivosti pomoću online testa, na primjer, ovdje: http://poodlebleed.com/.

    Bilješka. Mora biti jasno da će onemogućavanje SSL v3 na razini cijelog sustava funkcionirati samo za softver koji koristi API-ja sustava za SSL enkripciju (Internet Explorer, IIS, SQL NLA, RRAS, itd.). Programi koji koriste vlastite kripto alate (Firefox, Opera, itd.) moraju se ažurirati i konfigurirati pojedinačno.

    Onemogućavanje SSLv3 u sustavu Windows na razini sustava

    U OS-u Windows kontrola podrška za SSL/TLS protokole pruža se putem registra.

    U ovom primjeru pokazat ćemo kako u potpunosti onemogućiti SSLv3 na razini sustava (na razini klijenta i poslužitelja) u sustavu Windows Server 2012 R2:

    Onemogući SSLv2 (Windows 2008 / poslužitelj i starije verzije)

    Operacijski sustavi prije Windows 7 / Windows Server 2008 R2 prema zadanim postavkama koriste još manje siguran i zastarjeli protokol SSL v2, koji također treba biti onemogućen iz sigurnosnih razloga (u novije vrijeme Windows verzije, SSLv2 na razini klijenta je prema zadanim postavkama onemogućen i koriste se samo SSLv3 i TLS1.0). Da biste onemogućili SSLv2, morate ponoviti gore opisani postupak, samo za ključ registra SSL 2.0.

    U sustavu Windows 2008/2012, SSLv2 je prema zadanim postavkama onemogućen na razini klijenta.

    Omogućite TLS 1.1 i TLS 1.2 u sustavu Windows Server 2008 R2 i novijim verzijama

    Windows Server 2008 R2 / Windows 7 i noviji podržavaju algoritme šifriranja TLS 1.1 i TLS 1.2, ali ti su protokoli prema zadanim postavkama onemogućeni. Možete omogućiti podršku za TLS 1.1 i TLS 1.2 u ovim verzijama sustava Windows koristeći sličan scenarij


    Uslužni program za upravljanje kriptografskim protokolima sustava u sustavu Windows Server

    postoji besplatni uslužni program IIS Crypto, koji vam omogućuje praktično upravljanje parametrima kriptografskih protokola u sustavima Windows Server 2003, 2008 i 2012. Pomoću ovog uslužnog programa možete omogućiti ili onemogućiti bilo koji od protokola za šifriranje u samo dva klika.

    Program već ima nekoliko predložaka koji vam omogućuju brzu primjenu unaprijed postavljenih postavki za različite sigurnosne postavke.