###
  • Програми
  • Безпека
  • Новини
  • Цікаве
  • Поради
  • Новини
  • Огляди

    • Як увімкнути протокол tls 1.0. Помилка входу. Бюджетне планування – електронний бюджет (вхід за сертифікатом). Неможливо відобразити цю сторінку. Увімкніть TLS. Що таке SSL

    25.05.2021 Огляди

    TLS є послідовником SSL, протоколу, який дає надійне та безпечне з'єднання між вузлами в інтернеті. Його використовують при розробці різних клієнтів, включаючи браузери та клієнт-серверні програми. Що таке TLS в Internet Explorer?

    Трохи про технологію

    Усі підприємства та організації, які займаються фінансовими операціями, використовують даний протоколдля виключення прослуховування пакетів та здійснення несанкціонованого доступу зловмисниками. Ця технологія створена для захисту важливих з'єднань від атак зловмисників.

    Здебільшого у своїй організації використовують вбудований браузер. В деяких випадках - Mozilla Firefox.

    Увімкнення та вимкнення протоколу

    На деякі сайти іноді неможливо зайти через відключення підтримки технологій SSL і TLS. В браузері спливає відповідне повідомлення. Отже, як же включити протоколи, щоб користуватися безпечним зв'язком?
    1.Відкрийте Панель керування через Пуск. Ще один спосіб: відкрити Експлорер та натиснути на іконку шестерні у правому верхньому кутку.

    2.Зайдіть у розділ «Властивості браузера» та відкрийте блок «Додатково».

    3.Поставте галочки поруч із «Використовувати TLS 1.1 та TLS 1.2».

    4.Клікніть по ОК, щоб зберегти внесені зміни. Якщо ви захочете відключити протоколи, що вкрай не рекомендується робити, особливо якщо ви користуєтеся інтернет-банкінгом, зніміть позначки з цих пунктів.

    Чим відрізняються 1.0 від 1.1 та 1.2? 1.1 – це лише трохи вдосконалений варіант TLS 1.0, який частково успадкував його недоробки. 1.2 є найбезпечнішою версією протоколу. З іншого боку, не всі сайти можуть відкриватися за цієї включеної версії протоколу.

    Як відомо, месенджер Скайп безпосередньо пов'язаний з Internet Explorer як компонентом Windows. Якщо у вас не буде позначено галочкою протокол TLS в налаштуваннях, то зі Скайпом можуть виникнути проблеми. Програма просто не зможе з'єднатися із сервером.

    Якщо під час налаштування Інтернет Експлорер вимкнено підтримку TLS, всі функції програми, пов'язані з мережею, не працюватимуть. Більше того, від цієї технології залежить збереження ваших даних. Не нехтуйте ним, якщо виконуєте фінансові операції в цьому браузері (покупки в інтернет-магазинах, переказ грошей через інтернет-банкінг або електронний гаманець тощо).

    Якщо ви зіткнулися з проблемою, коли виникає помилка доступу до певного сайту, при цьому в браузері з'являється повідомлення , цьому є розумне пояснення. Причини та способи усунення проблеми наведемо у цій статті.

    Протокол SSL TLS

    Користувачі бюджетних організацій, та й не тільки бюджетних, діяльність яких безпосередньо пов'язана з фінансами, у взаємодії з фінансовими організаціями, наприклад, Мінфіном, казначейством і т.д., всі свої операції проводять виключно за захищеним протоколом SSL. У своїй роботі вони використовують браузер Internet Explorer. У деяких випадках – Mozilla Firefox.

    Помилка SSL

    Основну увагу, при проведенні даних операцій, та й роботі в цілому, приділено системі захисту: сертифікати, електронні підписи. Для роботи використовується програмне забезпеченняКриптоПро актуальну версію. Що стосується проблеми з протоколами SSL та TLS, якщо помилка SSL виникла, найімовірніше відсутня підтримка цього протоколу.

    Помилка TLS

    Помилка TLSу багатьох випадках може вказувати на відсутність підтримки протоколу. Але подивимося, що можна в цьому випадку зробити.

    Підтримка протоколів SSL та TLS

    Отже, при використанні Microsoft Internet Explorer, щоб відвідати веб-сайт із захищеним протоколом SSL, у рядку заголовка відображається Переконайтеся, що протоколи ssl та tls включені. Перш за все, необхідно включити підтримку протоколу TLS 1.0 в Internet Explorer.

    Якщо ви відвідуєте веб-сайт, на якому працює Internet Information Services 4.0 або вище, налаштування Internet Explorer для підтримки TLS 1.0 допомагає захистити ваше з'єднання. Звичайно, за умови, що віддалений веб-сервер, який ви намагаєтеся використовувати, підтримує цей протокол.

    Для цього в меню Сервісвиберіть команду Властивості оглядача.

    На вкладці Додатковов розділі Безпека, переконайтеся, що вибрано наступні прапорці:

    • Використовувати SSL 2.0
    • Використовувати SSL 3.0
    • Використати SSL 1.0

    Натисніть кнопку Застосувати , а потім ОК . Перезавантажте браузер .

    Після включення TLS 1.0, спробуйте ще раз відвідати веб-сайт.

    Системна політика безпеки

    Якщо, як і раніше, виникають помилки з SSL та TLSЯкщо ви все ще не можете використовувати SSL, віддалений веб-сервер, ймовірно, не підтримує TLS 1.0. У цьому випадку необхідно відключити системну політику, яка вимагає FIPS-сумісні алгоритми.

    Щоб це зробити, Панелі керуванняВиберіть Адміністрація, а потім двічі клацніть піктограму Локальна політика безпеки.

    У локальних параметрахбезпеки, розгорніть вузол Локальні політики, а потім натисніть кнопку Параметри безпеки.

    Відповідно до політики у правій частині вікна, двічі клацніть Системна криптографія: використовувати FIPS-сумісні алгоритми для шифрування, хешування та підписування, а потім натисніть кнопку Вимкнено.

    Увага!

    Зміна набирає чинності після повторного застосування локальної політикибезпеки. Увімкніть її, перезапустіть браузер.

    КриптоПро TLS SSL

    Оновити КриптоПро

    Одним із варіантів вирішення проблеми є оновлення КриптоПро, а також налаштування ресурсу. В даному випадку це робота з електронними платежами. Перейдіть на центр посвідчення . Як ресурс виберіть Електронні торгові майданчики.

    Після запуску автоматичного налаштування робочого місця залишиться тільки дочекатися завершення процедури, після чого перезавантажити браузер. Якщо потрібно ввести або вибрати адресу ресурсу, вибирайте потрібну. Також, після закінчення налаштування, можливо, потрібно перезавантажити комп'ютер.

    Протокол TLS шифрує інтернет-трафік усіх видів, тим самим роблячи безпечними спілкування та продаж в інтернеті. Ми розповімо про те, як протокол працює і що на нас чекає в майбутньому.

    Зі статті ви дізнаєтесь:

    Що таке SSL

    SSL або шар захищених сокетів була оригінальною назвою протоколу, який розробила компанія Netscape у середині 90-х. SSL 1.0 ніколи не був публічно доступним, а у версії 2.0 були серйозні недоліки. Протокол SSL 3.0, випущений у 1996, був повністю перероблений і поставив тон наступної стадії розвитку.

    Що таке TLS

    Коли наступну версію протоколу випустили 1999 року, її стандартизувала спеціальна робоча групапроектування мережі Інтернет та дала їй нову назву: захист транспортного рівня, або TLS. Як говориться в TLS-документації, «різниця між цим протоколом та SSL 3.0 не є критичною». TLS і SSL формують серію протоколів, що постійно оновлюються, і їх часто об'єднують під назвою SSL/TLS.

    Протокол TLS шифрує інтернет-трафік будь-якого виду. Найпоширеніший вид – веб-трафік. Ви знаєте, коли ваш браузер встановлює з'єднання TLS - якщо посилання в адресному рядку починається з "https".

    TLS також використовується іншими програмами - наприклад, у пошті та системах телеконференцій.

    Як працює TLS

    Шифрування необхідно безпечно спілкуватися в інтернеті. Якщо ваші дані не шифруються, будь-хто може проаналізувати їх та прочитати конфіденційну інформацію.

    Найбезпечніший метод шифрування – це асиметричне шифрування. Для цього потрібно 2 ключі, 1 публічний та 1 приватний. Це файли з інформацією, найчастіше дуже великі числа. Механізм складний, але якщо просто ви можете використовувати публічний ключ, щоб шифрувати дані, але вам потрібен приватний ключ, щоб розшифровувати їх. Два ключі пов'язані з допомогою складної математичної формули, яку складно хакнути.

    Можна надати публічний ключ як інформацію про місцезнаходження закритого поштової скринькиз отвором і приватний ключ як ключ, який відкриває ящик. Будь-хто, хто знає, де знаходиться ящик, може покласти туди листа. Але щоб прочитати його, людині потрібний ключ, щоб відкрити скриньку.

    Оскільки в асиметричному шифруванні використовуються складні математичні розрахунки, необхідно багато обчислювальних ресурсів. TLS вирішує цю проблему, використовуючи асиметричне шифрування лише на початку сесії, щоб зашифрувати спілкування між сервером та клієнтом. Сервер та клієнт повинні домовитися про один ключ сесії, який вони будуть удвох використовувати, щоб зашифрувати пакети даних.

    Процес, згідно з яким клієнт та сервер домовляються про ключ сесії, називається рукостисканням. Це момент, коли 2 спілкуються комп'ютери представляються друг другу.

    Процес TLS-рукостискання

    Процес TLS-рукостискання досить складний. Кроки внизу відображають процес загалом, щоб ви розуміли, як це працює загалом.

    1. Клієнт зв'язується із сервером та запитує безпечне з'єднання. Сервер відповідає списку шифрів - алгоритмічний набор для створення зашифрованих з'єднань - яким він знає, як користуватися. Клієнт порівнює список зі своїм списком шифрів, що підтримуються, вибирає відповідний і дає серверу знати, який вони будуть використовувати вдвох.
    2. Сервер надає свій цифровий сертифікат - електронний документ, підписаний третьою стороною, що підтверджує справжність сервера. Сама важлива інформаціяу сертифікаті – це публічний ключ до шифру. Клієнт підтверджує справжність сертифіката.
    3. Використовуючи публічний ключ сервера, клієнт і сервер встановлюють ключ сесії, який вони обидва будуть використовувати протягом всієї сесії, щоб шифрувати спілкування. І тому є кілька методів. Клієнт може використовувати публічний ключ, щоб шифрувати довільне число, яке потім відправляється на сервер для розшифровки, і обидві сторони потім використовують це число, щоб встановити ключ сесії.

    Ключ сесії дійсний лише протягом однієї безперервної сесії. Якщо з якоїсь причини спілкування між клієнтом та сервером перерветься, потрібно буде нове рукостискання, щоб встановити новий ключсесії.

    Вразливості протоколів TLS 1.2 та TLS 1.2

    TLS 1.2 – найпоширеніша версія протоколу. Ця версія встановила вихідну платформу опцій шифрування сесій. Однак, як і деякі попередні версії протоколу, цей протокол дозволяв використовувати старішу техніку шифрування, щоб підтримувати старі комп'ютери. На жаль, це призвело до вразливостей версії 1.2, оскільки ці старіші механізми шифрування стали вразливішими.

    Наприклад, протокол TLS 1.2 став особливо вразливим до атак типу активного втручання у з'єднання, у яких хакер перехоплює пакети даних серед сесії та відправляє їх після прочитання чи зміни. Багато з цих проблем виявилися за останні 2 роки, тому стало необхідно терміново створити оновлену версію протоколу.

    TLS 1.3

    Версія 1.3 протоколу TLS, яка скоро буде фіналізована, вирішує безліч проблем із уразливістю тим, що відмовляється від підтримки застарілих систем шифрування.
    У нової версіїє сумісність з попередніми версіями: наприклад, з'єднання відкотиться до версії TLS 1.2, якщо одна зі сторін не зможе використовувати більше нову системушифрування у списку дозволених алгоритмів протоколу версії 1.3. Однак при атаці типу активного втручання в з'єднання, якщо хакер примусово спробує відкотити версію протоколу до 1.2 посеред сесії, ця дія буде помічена, і з'єднання перерветься.

    Як увімкнути підтримку TLS 1.3 у браузерах Google Chrome та Firefox

    Firefox і Chrome підтримують TLS 1.3, але ця версія не включена за промовчанням. Причина в тому, що вона існує поки що тільки в чорновому варіанті.

    Mozilla Firefox

    Введіть about:config в адресний рядок браузера. Підтвердьте, що ви розумієте ризики.

    1. Відкриється редактор налаштувань Firefox.
    2. Введіть у пошуку security.tls.version.max
    3. Змініть значення на 4, зробивши подвійне клацаннямишею на нинішнє значення.



    Google Chrome

    1. Введіть chrome://flags/ в адресний рядок браузера, щоб відкрити панель експериментів.
    2. Знайдіть опцію #tls13-variant
    3. Натисніть меню і поставте Enabled (Draft).
    4. Перезапустіть браузер.

    Як перевірити, що ваш браузер використовує версію 1.2

    Нагадуємо, що версія 1.3 ще не використовується привселюдно. Якщо ви не бажаєте
    Використовуючи чорновий варіант, ви можете залишитися на версії 1.2.

    Щоб перевірити, чи ваш браузер використовує версію 1.2, зробіть ті ж кроки, що й в інструкціях вище, і переконайтеся, що:

    • Для Firefox значення security.tls.version.max дорівнює 3. Якщо воно нижче, поміняйте його на 3, зробивши подвійне клацання мишею на нинішнє значення.
    • Для Google Chrome: натисніть меню браузера - виберіть Settings- Виберіть Show advanced settings- опустіться до розділу Systemта натисніть на Open proxy settings…:

    • У вікні, натисніть на вкладку Security і перевірте, щоб для поля Use TLS 1.2 стояла галочка. Якщо не варто - поставте та натисніть OK:


    Зміни набудуть чинності після перезавантаження комп'ютера.

    Швидкий інструмент для перевірки версії протоколу SSL/TLS браузера

    Зайдіть до онлайн-інструменту перевірки версії протоколу SSL Labs . Сторінка покаже в реальному часі використовувану версію протоколу, і чи піддається браузер якимось вразливим.

    Джерела: переклад

    Проблема

    При спробі увійти до особистий кабінетДІВС «Електронний бюджет» з'являється повідомлення про помилку:

    Неможливо відобразити цю сторінку

    Увімкніть протоколи TLS 1.0, TLS 1.1 та TLS 1.2 у розділі « Додаткові параметри» і знову спробуйте підключитися до веб-сторінки https://ssl.budgetplan.minfin.ru. Якщо помилку не вдалося усунути, зверніться до адміністратора веб-сайту.

    Рішення

    Необхідно перевірити налаштування робочого місця згідно з документом.

    В інструкції не сказано про декілька нюансів:

    1. Необхідно встановити КриптоПро ЕЦП Browser plug-inта перевірити його роботу на демо-сторінці .
    2. Необхідно в налаштуваннях антивірусу відключити фільтрацію протоколу SSL/TLS, тобто для шуканого сайту слід зробити виключення перевірки захищеного з'єднання. У різних антивірусах може називатися по-різному. Наприклад, у Kaspersky Free потрібно перейти «Налаштування>Додатково>Мережа>Не перевіряти захищені з'єднання» .

    У жовтні інженери Google опублікували інформацію про критичну вразливість у SSL версії 3.0, що отримала кумедну назву POODLE(Padding Oracle On Downgraded Legacy Encryption або пудель 🙂). Вразливість дозволяє зловмиснику отримати доступ до інформації, зашифрованої протоколом SSLv3, за допомогою атаки «man in the middle». Вразливості піддаються як сервери, і клієнти, які можуть з'єднуватися за протоколом SSLv3.

    Загалом ситуація не дивна, т.к. протоколу SSL 3.0, вперше представленого ще у 1996 році, вже виповнилося 18 років і морально він уже застарів. У більшості практичних завдань його вже замінив криптографічний протокол TLS(версій 1.0, 1.1 та 1.2).

    Для захисту від уразливості POODLE рекомендується повністю відключити підтримку SSLv3 як на стороні клієнта, так і на стороні сервераі надалі використовувати лише TLS. Для користувачів застарілого ПЗ (наприклад, які використовують IIS 6 на Windows XP) це означає, що вони більше не зможуть переглядати сторінки HTTPS і використовувати інші SSL-сервіси. У тому випадку, якщо підтримка SSLv3 не відключена повністю, а за замовчуванням пропонується використовується сильніше шифрування, уразливість POODLE все одно матиме місце. Пов'язано це з особливостями вибору та узгодження протоколу шифрування між клієнтом та сервером, т.к. при виявленні несправностей у використанні TLS відбувається автоматичний перехід на SSL.

    Рекомендуємо перевірити всі свої сервіси, які можуть використовувати SSL/TLS у будь-якому вигляді та вимкнути підтримку SSLv3. Перевірити свій веб-сервер на наявність вразливості можна за допомогою тесту онлайн, наприклад, тут: http://poodlebleed.com/ .

    Примітка. Потрібно чітко розуміти, що відключення SSL v3 на рівні всієї системи буде працювати тільки для програмного забезпечення, яке використовує системні APIдля SSL-шифрування (Internet Explorer, IIS, SQL NLA, RRAS та ін.). Програми, які використовують власні крипто засоби (Firefox, Opera тощо), потрібно оновити та налаштувати індивідуально.

    Відключаємо SSLv3 у Windows на рівні системи

    В ОС Windows керуванняпідтримкою протоколів SSL/TLS здійснюється через реєстр.

    У цьому прикладі ми покажемо, як повністю на рівні системи (як на рівні клієнта, так і на сервері) відключити SSLv3 в Windows Server 2012 R2:

    Відключаємо SSLv2 (Windows 2008/Server і нижче)

    У ОС, що передують Windows 7 / Windows Server 2008 R2, за замовчуванням використовується ще менш безпечний і застарілий протокол SSL v2, який також слід відключити з міркувань безпеки (у свіжіших версіях Windows, SSLv2 на рівні клієнта вимкнено за замовчуванням і використовується тільки SSLv3 та TLS1.0). Для відключення SSLv2 потрібно повторити описану вище процедуру тільки для розділу реєстру SSL 2.0.

    У Windows 2008/2012 SSLv2 на рівні клієнта вимкнено за замовчуванням.

    Включаємо TLS 1.1 та TLS 1.2 у Windows Server 2008 R2 та вище

    Windows Server 2008 R2 / Windows 7 і вище підтримують алгоритми шифрування TLS 1.1 і TLS 1.2, але ці протоколи за замовчуванням відключені. Увімкнути підтримку TLS 1.1 і TLS 1.2 у цих версіях Windows можна за схожим сценарієм


    Утиліта для керування системними криптографічними протоколами у Windows Server

    Існує безкоштовна утиліта IIS Crypto , що дозволяє зручно керувати параметрами криптографічних протоколів у Windows Server 2003, 2008 і 2012. За допомогою даної утиліти увімкнути або вимкнути будь-який із протоколів шифрування можна всього в два кліки.

    У програмі вже є кілька шаблонів, що дозволяють швидко застосувати налаштування для різних варіантів налаштувань безпеки.