###
  • Programok
  • Biztonság
  • hírek
  • Érdekes
  • Tippek
  • hírek
  • Vélemények

    • A tls 1.0 protokoll engedélyezése. Bejelentkezés sikertelen. Költségvetés tervezés - elektronikus költségvetés (igazolás bejegyzés). Ez az oldal nem jeleníthető meg. TLS protokollok engedélyezése. Mi az SSL

    25.05.2021 Vélemények

    A TLS az SSL utódja, egy olyan protokoll, amely megbízható és biztonságos kapcsolatot biztosít az internet csomópontjai között. Különféle kliensek, köztük böngészők és kliens-szerver alkalmazások fejlesztésében használják. Miben van a TLS? internet böngésző?

    Egy kicsit a technológiáról

    Minden vállalkozás és szervezet, amely pénzügyi tranzakciókat folytat, használja ezt a protokollt hogy kizárják a csomagok lehallgatását és a behatolók jogosulatlan hozzáférését. Ezt a technológiát arra tervezték, hogy megvédje a fontos kapcsolatokat a rosszindulatú támadásoktól.

    Alapvetően szervezetükben a beépített böngészőt használják. Egyes esetekben - Mozilla Firefox.

    Protokoll engedélyezése vagy letiltása

    Egyes webhelyekhez néha nem lehet hozzáférni, mivel az SSL és TLS technológiák támogatása le van tiltva. A böngészőben megjelenik egy értesítés. Tehát hogyan engedélyezheti a protokollok számára, hogy továbbra is biztonságos kommunikációt használjanak?
    1. Nyissa meg a Vezérlőpultot a Start menüben. Egy másik módszer: nyissa meg az Explorert, és kattintson a fogaskerék ikonra a jobb felső sarokban.

    2. Lépjen az "Internetbeállítások" szakaszba, és nyissa meg a "Speciális" blokkot.

    3. Jelölje be a „TLS 1.1 és TLS 1.2 használata” melletti négyzeteket.

    4. Kattintson az OK gombra a módosítások mentéséhez. Ha le szeretné tiltani a protokollokat, ami nagyon nem ajánlott, különösen, ha internetes bankolást használ, törölje ugyanazon elemek bejelölését.

    Mi a különbség az 1.0 és az 1.1 és az 1.2 között? Az 1.1 a TLS 1.0-nak csak egy kicsit továbbfejlesztett változata, amely részben örökölte a hiányosságait. Az 1.2 a protokoll legbiztonságosabb verziója. Másrészt nem minden webhely nyitható meg, ha engedélyezve van ez a protokollverzió.

    Mint tudják, a Skype messenger közvetlenül kapcsolódik az Internet Explorerhez Windows komponens. Ha nincs bejelölve a TLS-protokoll a beállításokban, akkor problémák lehetnek a Skype-val. A program egyszerűen nem tud csatlakozni a szerverhez.

    Ha a TLS támogatás le van tiltva az Internet Explorer beállításaiban, a program összes hálózattal kapcsolatos funkciója nem fog működni. Ezenkívül az Ön adatainak biztonsága ettől a technológiától függ. Ne hagyja figyelmen kívül, ha pénzügyi tranzakciókat hajt végre ebben a böngészőben (vásárlás online áruházakban, pénzátutalás online bankon vagy elektronikus pénztárcán keresztül stb.).

    Ha olyan problémát tapasztal, hogy egy adott webhelyhez nem tud hozzáférni, és egy üzenet jelenik meg a böngészőben, ennek ésszerű magyarázata van. A probléma okait és megoldásait ebben a cikkben ismertetjük.

    SSL TLS protokoll

    Azok a költségvetési szervezetek – és nem csak a költségvetési szervezetek – felhasználói, amelyek tevékenysége közvetlenül kapcsolódik a pénzügyekhez, a pénzügyi szervezetekkel, például a Pénzügyminisztériummal, a Pénzügyminisztériummal stb. együttműködve minden tevékenységüket kizárólag a biztonságos SSL protokoll használatával végzik. . Munkájuk során alapvetően az Internet Explorer böngészőt használják. Bizonyos esetekben a Mozilla Firefox.

    SSL hiba

    Ezen műveletek és általában a munkavégzés során a fő figyelmet a védelmi rendszer kapja: tanúsítványok, elektronikus aláírások. Munkára használt szoftver CryptoPro jelenlegi verziója. Vonatkozó problémák az SSL és TLS protokollokkal kapcsolatban, ha SSL hiba megjelent, valószínűleg nincs támogatás ehhez a protokollhoz.

    TLS hiba

    TLS hiba sok esetben a protokoll támogatásának hiányát is jelezheti. De... lássuk, mit lehet tenni ebben az esetben.

    SSL és TLS protokollok támogatása

    Tehát használat közben Microsoft Internet Böngészés, hogy SSL-en keresztül látogasson el egy webhelyre, a címsorban látható Győződjön meg arról, hogy az ssl és tls engedélyezve van. Először is engedélyeznie kell a TLS 1.0 protokoll támogatását az Internet Explorerben.

    Ha olyan webhelyet keres fel, amelyen az Internet Information Services 4.0 vagy újabb verziója fut, Internet beállítás Az Explorer for TLS 1.0 támogatása segíti a kapcsolat biztonságát. Természetesen, feltéve, hogy a távoli webszerver, amelyet használni próbál, támogatja ezt a protokollt.

    Ehhez a menü Szolgáltatás válassz egy csapatot internetes lehetőségek.

    A lapon Továbbá fejezetben Biztonság, győződjön meg arról, hogy a következő jelölőnégyzetek be vannak jelölve:

    • SSL 2.0 használata
    • SSL 3.0 használata
    • SSL 1.0 használata

    Kattintson a gombra Alkalmaz , és akkor rendben . Indítsa újra a böngészőt .

    A TLS 1.0 engedélyezése után próbálja meg újra felkeresni a webhelyet.

    Rendszerbiztonsági szabályzat

    Ha vannak még SSL és TLS hibák ha továbbra sem tudja használni az SSL-t, a távoli webszerver valószínűleg nem támogatja a TLS 1.0-t. Ebben az esetben le kell tiltania a FIPS-kompatibilis algoritmusokat igénylő rendszerházirendet.

    Ehhez be Vezérlőpultok válassza ki Adminisztráció, majd kattintson duplán Helyi biztonsági szabályzat.

    NÁL NÉL helyi paraméterek biztonság, csomópont bővítése Helyi szabályzatok, majd kattintson a gombra Biztonsági opciók.

    Az ablak jobb oldalán található házirendnek megfelelően kattintson duplán Rendszerkriptográfia: használjon FIPS-kompatibilis algoritmusokat a titkosításhoz, a kivonatoláshoz és az aláíráshoz, majd kattintson a gombra Tiltva.

    Figyelem!

    A módosítás az újbóli jelentkezés után lép életbe helyi politika Biztonság. Kapcsolja be, indítsa újra a böngészőt.

    CryptoPro TLS SSL

    Frissítse a CryptoPro-t

    A probléma megoldásának egyik lehetősége a CryptoPro frissítése, valamint az erőforrás beállítása. Ebben az esetben az elektronikus fizetéssel való munka. Lépjen a Hitelesítés-szolgáltató oldalra. Az erőforráshoz válassza az E-Marketplaces lehetőséget.

    Az automatikus munkahely-beállítás elindítása után csak várja meg az eljárás befejezését, akkor böngésző újraindítása. Ha meg kell adnia vagy ki kell választania egy erőforráscímet, válassza ki a kívántat. Előfordulhat, hogy a telepítés befejezése után újra kell indítania a számítógépet.

    A TLS protokoll mindenféle internetes forgalmat titkosít, ezáltal biztonságossá teszi az internetes kommunikációt és értékesítést. Beszélni fogunk arról, hogyan működik a protokoll, és mi vár ránk a jövőben.

    A cikkből megtudhatja:

    Mi az SSL

    SSL vagy Secure Sockets Layer volt a Netscape által a 90-es évek közepén kifejlesztett protokoll eredeti neve. Az SSL 1.0 soha nem volt nyilvánosan elérhető, a 2.0-s verziónak pedig komoly hibái voltak. Az 1996-ban kiadott SSL 3.0 protokollt teljesen átdolgozták, és megadta az alaphangot a fejlesztés következő szakaszához.

    Mi az a TLS

    Amikor 1999-ben megjelent a protokoll következő verziója, egy speciális szabvány szabványosította munkacsoport megtervezte az internetet, és új nevet adott neki: Transport Layer Security vagy TLS. Ahogy a TLS dokumentációja mondja, "a protokoll és az SSL 3.0 közötti különbség nem kritikus." A TLS és az SSL protokollok folyamatosan frissített sorozatát alkotják, és gyakran SSL/TLS néven egyesítik őket.

    A TLS protokoll bármilyen típusú internetes forgalmat titkosít. A leggyakoribb típus a webes forgalom. Tudja, hogy a böngészője mikor hoz létre TLS-kapcsolatot – ha a címsorban lévő hivatkozás „https” előtaggal kezdődik.

    A TLS-t más alkalmazások is használják, például levelező- és telekonferencia-rendszerek.

    Hogyan működik a TLS

    A titkosítás szükséges a biztonságos internetes kommunikációhoz. Ha adatai nincsenek titkosítva, bárki elemezheti azokat, és elolvashatja az érzékeny információkat.

    A legbiztonságosabb titkosítási módszer az aszimmetrikus titkosítás. Ehhez 2 kulcsra van szükség, 1 nyilvános és 1 privát. Ezek információkat tartalmaznak, leggyakrabban nagyon nagy számokat. A mechanizmus összetett, de leegyszerűsítve: használhatja a nyilvános kulcsot az adatok titkosításához, de a titkosítás feloldásához szükség van a privát kulcsra. A két kulcs egy bonyolult matematikai képlet segítségével van összekapcsolva, amelyet nehéz feltörni.

    A nyilvános kulcsra úgy gondolhat, mint egy privát kulcs helyére vonatkozó információra postafiók egy lyukkal, és egy privát kulccsal, mint egy kulcs, amely kinyitja a dobozt. Aki tudja, hol van a doboz, az betehet oda egy levelet. De ahhoz, hogy az ember elolvassa, kulcsra van szüksége a doboz kinyitásához.

    Mivel az aszimmetrikus titkosítás összetett matematikai számításokat használ, sok számítási erőforrást igényel. A TLS úgy oldja meg ezt a problémát, hogy aszimmetrikus titkosítást csak a munkamenet elején használ a kiszolgáló és az ügyfél közötti kommunikáció titkosításához. A szervernek és a kliensnek meg kell állapodnia egyetlen munkamenetkulcsban, amelyet mindketten az adatcsomagok titkosításához használnak.

    Meghívásra kerül az a folyamat, amelynek során a kliens és a szerver megállapodik a munkamenetkulcsban kézfogás. Ez az a pillanat, amikor 2 kommunikáló számítógép bemutatkozik egymásnak.

    TLS kézfogási folyamat

    A TLS kézfogási folyamat meglehetősen összetett. Az alábbi lépések általánosságban mutatják be a folyamatot, hogy megértse, hogyan működik általában.

    1. Az ügyfél felveszi a kapcsolatot a szerverrel, és biztonságos kapcsolatot kér. A szerver egy rejtjellistával válaszol – ez egy algoritmikus készlet a titkosított kapcsolatok létrehozására –, amelyet tudja, hogyan kell használni. Az ügyfél összehasonlítja a listát a támogatott rejtjelek listájával, kiválasztja a megfelelőt, és tudatja a kiszolgálóval, hogy melyiket használja együtt.
    2. A szerver biztosítja a sajátját digitális tanúsítvány - elektronikus dokumentum, amelyet egy harmadik fél írt alá, amely hitelesíti a szervert. A legtöbb fontos információ a tanúsítványban található a titkosítás nyilvános kulcsa. Az ügyfél hitelesíti a tanúsítványt.
    3. A szerver nyilvános kulcsát használva a kliens és a szerver létrehoz egy munkamenet-kulcsot, amelyet a munkamenet során mindketten a kommunikáció titkosításához használnak. Erre több módszer is létezik. A kliens a nyilvános kulcs segítségével tetszőleges számot titkosíthat, amelyet aztán visszaküldés céljából elküld a szervernek, majd mindkét fél ezt a számot használja a munkamenetkulcs létrehozásához.

    A munkamenetkulcs csak egy folyamatos munkamenetre érvényes. Ha valamilyen oknál fogva a kliens és a szerver közötti kommunikáció megszakad, új kézfogásra lesz szükség a létrehozáshoz új kulcsüléseken.

    A TLS 1.2 és TLS 1.2 protokollok biztonsági rései

    A TLS 1.2 a protokoll legszélesebb körben használt verziója. Ez a verzió telepítette az eredeti munkamenet-titkosítási beállítások platformját. A protokoll néhány korábbi verziójához hasonlóan azonban ez a protokoll is lehetővé tette régebbi titkosítási technikák használatát a régebbi számítógépek támogatása érdekében. Sajnos ez az 1.2-es verzió sebezhetőségét eredményezte, mivel ezek a régebbi titkosítási mechanizmusok sebezhetőbbé váltak.

    Például a TLS 1.2 protokoll különösen sebezhetővé vált a manipulációs támadásokkal szemben, amelyek során a hacker egy munkamenet közepén elfogja az adatcsomagokat, és elküldi azokat, miután elolvasta vagy módosította azokat. E problémák közül sok az elmúlt 2 évben felmerült, ezért sürgetővé vált a protokoll frissített verziójának elkészítése.

    TLS 1.3

    A TLS-protokoll hamarosan véglegesítendő 1.3-as verziója számos sebezhetőségi problémát megold a régi titkosítási rendszerek támogatásának megszüntetésével.
    NÁL NÉL új verzió kompatibilis a előző verziók: például a kapcsolat visszaáll a TLS 1.2-es verziójára, ha az egyik fél nem tud többet használni új rendszer titkosítás az engedélyezett 1.3-as verziójú protokollalgoritmusok listájában. Azonban egy kapcsolat-szabotázs típusú támadásban, ha egy hacker egy munkamenet közepén erőszakkal megpróbálja visszaállítani a protokoll verzióját 1.2-re, ezt a műveletet a rendszer észleli, és a kapcsolat megszakad.

    A TLS 1.3 támogatásának engedélyezése a Google Chrome és a Firefox böngészőkben

    A Firefox és a Chrome támogatja a TLS 1.3-at, de ez a verzió alapértelmezés szerint nincs engedélyezve. Ennek az az oka, hogy eddig csak tervezet formájában létezik.

    Mozilla Firefox

    Írja be az about:config parancsot a böngésző címsorába. Erősítse meg, hogy megértette a kockázatokat.

    1. Megnyílik a Firefox beállításszerkesztője.
    2. Írja be a security.tls.version.max-ot a keresésbe
    3. Ehhez módosítsa az értéket 4-re dupla kattintás egérrel az aktuális értékre.



    Google Chrome

    1. A kísérletek panel megnyitásához írja be a chrome://flags/ parancsot a böngésző címsorába.
    2. Keresse meg a #tls13-variáns lehetőséget
    3. Kattintson a menüre, és állítsa be az Enabled (Piszkozat) beállítást.
    4. Indítsa újra a böngészőt.

    Hogyan ellenőrizhető, hogy a böngészője 1.2-es verziót használ-e

    Felhívjuk figyelmét, hogy az 1.3-as verzió még nem nyilvános. Ha nem szeretné
    használja a vázlatos verziót, maradhat az 1.2-es verziónál.

    Annak ellenőrzéséhez, hogy böngészője 1.2-es verziót használ-e, kövesse a fenti utasításokban leírtakat, és győződjön meg a következőkről:

    • Firefox esetén a security.tls.version.max értéke 3. Ha alacsonyabb, akkor az aktuális értékre duplán kattintva módosítsa 3-ra.
    • Google Chrome esetén: kattintson a böngésző menüjére - válassza ki Beállítások- válassza ki haladó beállítások mutatása- menj le a szakaszra Rendszerés kattintson rá Proxy beállítások megnyitása…:

    • A megnyíló ablakban kattintson a Biztonság fülre, és ellenőrizze, hogy a TLS 1.2 használata mező be van-e jelölve. Ha nem éri meg, állítsa be és kattintson az OK gombra:


    A módosítások a számítógép újraindítása után lépnek életbe.

    Egy gyors eszköz a böngésző SSL/TLS protokoll verziójának ellenőrzésére

    Nyissa meg az SSL Labs Online Protocol Version Checker oldalt. Az oldal valós időben mutatja, hogy a protokoll melyik verzióját használják, és hogy a böngésző sebezhető-e a biztonsági résekkel szemben.

    Források: fordítás

    Probléma

    Amikor megpróbál bejelentkezni Személyes terület GIIS "Elektronikus költségvetés" hibaüzenet jelenik meg:

    Ez az oldal nem jeleníthető meg

    Engedélyezze a TLS 1.0, TLS 1.1 és TLS 1.2 protokollt a " Extra lehetőségek” és próbáljon meg újra csatlakozni a https://ssl.budgetplan.minfin.ru weboldalhoz. Ha a hiba továbbra is fennáll, forduljon a webhely rendszergazdájához.

    Megoldás

    A munkahelyi beállításokat a dokumentum szerint ellenőrizni kell.

    Az utasítások nem említenek néhány dolgot:

    1. Telepíteni kell CryptoPro EDS Browser beépülő modulés nézd meg a bemutató oldalon.
    2. Az SSL / TLS protokoll szűrését le kell tiltani a víruskereső beállításokban, vagyis a keresett webhely esetében kivételt kell tenni a biztonságos kapcsolat ellenőrzése miatt. Különböző vírusirtókban másképpen nevezhető. Például a Kaspersky Freeben mennie kell "Beállítások> Speciális> Hálózat> Ne ellenőrizze a biztonságos kapcsolatokat" .

    Októberben a Google mérnökei egy kritikus sérülékenységről tettek közzé információkat SSL 3.0 verzió vicces névvel USZKÁR(Padding Oracle On Downgraded Legacy Encryption vagy Poodle 🙂). A biztonsági rés lehetővé teszi, hogy a támadó hozzáférjen az SSLv3 protokollal titkosított információkhoz egy „ember a közepén” támadás segítségével. A sérülékenységek mind a szervereket, mind az SSLv3 protokoll használatával csatlakozni tudó ügyfeleket érintik.

    Általában véve nem meglepő a helyzet, mert. jegyzőkönyv SSL 3.0, amelyet először 1996-ban vezettek be, már 18 éves és erkölcsileg elavult. A legtöbb gyakorlati feladatban már felváltotta a kriptográfiai protokoll TLS(1.0, 1.1 és 1.2 verzió).

    A POODLE sebezhetősége elleni védelem érdekében teljes mértékben ajánlott tiltsa le az SSLv3 támogatást mind a kliens, mind a szerver oldalon majd csak a TLS-t használja. A régebbi szoftverek felhasználói (például az IIS 6-ot használók Windows XP rendszeren) ez azt jelenti, hogy többé nem tekinthetik meg a HTTPS-oldalakat és nem használhatnak más SSL-szolgáltatásokat. Abban az esetben, ha az SSLv3 támogatása nincs teljesen letiltva, és alapértelmezés szerint erősebb titkosítást kínálnak, a POODLE sebezhetősége továbbra is fennáll. Ez a kliens és a szerver közötti titkosítási protokoll kiválasztásának és egyeztetésének sajátosságaiból adódik, mivel Ha problémákat észlel a TLS használatában, automatikusan áttér az SSL-re.

    Javasoljuk, hogy ellenőrizze az összes olyan szolgáltatást, amely bármilyen formában tudja használni az SSL-t / TLS-t, és tiltsa le az SSLv3 támogatását. Egy online teszt segítségével ellenőrizheti a webszerver sebezhetőségét, például itt: http://poodlebleed.com/.

    jegyzet. Világosan meg kell érteni, hogy az SSL v3 letiltása rendszerszinten csak olyan szoftvereknél működik, amelyek rendszer API-k SSL titkosításhoz (Internet Explorer, IIS, SQL NLA, RRAS stb.). A saját titkosítási eszközeiket használó programokat (Firefox, Opera stb.) egyedileg kell frissíteni és konfigurálni.

    Az SSLv3 letiltása a Windows rendszerben rendszerszinten

    OS Windows vezérlés Az SSL/TLS protokollok támogatása a rendszerleíró adatbázison keresztül történik.

    Ebben a példában bemutatjuk, hogyan lehet teljesen letiltani az SSLv3-at rendszerszinten (ügyfél- és szerverszinten egyaránt) a Windows Server 2012 R2 rendszerben:

    Az SSLv2 letiltása (Windows 2008 / Server és régebbi)

    A Windows 7/Windows Server 2008 R2 előtti operációs rendszerekben alapértelmezés szerint még kevésbé biztonságos és elavult protokollt használnak. SSLv2, amelyet szintén le kell tiltani biztonsági okokból (az újabb Windows verziók, az ügyfélszintű SSLv2 alapértelmezés szerint le van tiltva, és csak az SSLv3 és a TLS1.0 használatos). Az SSLv2 letiltásához meg kell ismételnie a fenti eljárást, csak a rendszerleíró kulcs esetében SSL 2.0.

    A Windows 2008/2012 rendszerben az SSLv2 ügyfélszinten alapértelmezés szerint le van tiltva.

    A TLS 1.1 és TLS 1.2 engedélyezése Windows Server 2008 R2 és újabb rendszeren

    A Windows Server 2008 R2 / Windows 7 és újabb verziók támogatják a TLS 1.1 és TLS 1.2 titkosítási algoritmusokat, de ezek a protokollok alapértelmezés szerint le vannak tiltva. Hasonló forgatókönyv szerint engedélyezheti a TLS 1.1 és TLS 1.2 támogatását a Windows ezen verzióiban


    Segédprogram a rendszer kriptográfiai protokolljainak kezelésére a Windows Server rendszerben

    Létezik ingyenes segédprogram IIS Crypto, amely lehetővé teszi a kriptográfiai protokollok paramétereinek kényelmes kezelését a Windows Server 2003, 2008 és 2012 rendszerben. Ezzel a segédprogrammal két kattintással engedélyezheti vagy letilthatja bármelyik titkosítási protokollt.

    A programnak már több sablonja is van, amelyek lehetővé teszik a biztonsági beállítások különféle opcióinak gyors beállítását.