Kopsavilkums
Transporta slāņa drošība (TLS) 1.0 un 1.1 ir drošības protokoli šifrēšanas kanālu izveidei datortīklos. Microsoft atbalsta šīs programmas kopš Windows XP un Windows Server 2003. Tomēr normatīvās prasības tiek mainītas. Turklāt TLS 1.0 pastāv jauni drošības iestatījumi. Tāpēc Microsoft ieteicams noņemt TLS 1.0 un 1.1 atkarības. Iesakām arī atspējot TLS 1.0 un 1.1 operētājsistēmas līmenī, ja iespējams. Papildinformāciju skatiet rakstā TLS 1.0 un 1.1 atspējošana. 2022. gada 20. septembra priekšskatījuma atjauninājumā TLS 1.0 un 1.1 atspējosim pēc noklusējuma lietojumprogrammām, kuru pamatā ir Winhttp un wininet. Tas ir daļa no pastāvīgas piepūles. Šis raksts palīdzēs jums tās atkārtoti iespējot. Šīs izmaiņas tiks atspoguļotas pēc Windows atjauninājumu instalēšanas, kas izlaisti 2022. gada 20. septembrī vai pēc tās.
Darbība, piekļūstot TLS 1.0 un 1.1 saitēm pārlūkprogrammā
Pēc 2022. gada 20. septembra, atverot tīmekļa vietni, kas izmanto TLS 1.0 vai 1.1, tiks parādīts ziņojums. Skatiet 1. attēlu. Ziņojumā ir parādīts, ka vietne izmanto novecojušu vai nedrošu TLS protokolu. Lai novērstu šo problēmu, varat atjaunināt TLS protokolu uz TLS 1.2 vai vairāk. Ja tas nav iespējams, varat iespējot TLS, kā aprakstīts sadaļā TLS versijas 1.1 iespējošana un tālāk.
1. attēls: pārlūkprogrammas logs, piekļūstot TLS 1.0 un 1.1 tīmekļa lapai
Darbība, piekļūstot TLS 1.0 un 1.1 saitēm winhttp lietojumprogrammās
Pēc atjauninājuma lietojumprogrammas atbilstoši laimēthttp var neizdoties. Kļūdas ziņojums ir šāds: "ERROR_WINHTTP_SECURE_FAILURE winhttpsendRequest operācijas laikā."
Darbība, piekļūstot TLS 1.0 un 1.1 saitēm pielāgotās UI lietojumprogrammās, pamatojoties uz Winhttp vai wininet
Ja lietojumprogramma mēģina izveidot savienojumu, izmantojot TLS 1.1 un tālāk, iespējams, neizdosies izveidot savienojumu. Kad aizverat lietojumprogrammu vai tā pārstāj darboties, tiek parādīts dialoglodziņš Programmas saderības palīgs (PcA), kā parādīts 2. attēlā.
2. attēls. Programmas saderības palīga dialoglodziņš pēc lietojumprogrammas aizvēršanas
PCA dialoglodziņā tiek parādīts "Šī programma, iespējams, nav palaista pareizi". Zem tā ir divas opcijas:
-
Programmas palaišana, izmantojot saderības iestatījumus
-
Šī programma darbojās pareizi
Programmas palaišana, izmantojot saderības iestatījumus
Izvēloties šo opciju, programma tiek atkārtoti atvērta. Tagad visas saites, kas izmanto TLS 1.0 un 1.1, darbojas pareizi. Pēc tam pca (PCA) dialogs netiks parādīts. Reģistra redaktors pievieno ierakstus šādiem ceļiem:
-
Computer\HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Store.
-
Computer\HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Layers.
Ja šo opciju izvēlējāties kļūdas dēļ, varat izdzēst šos ierakstus. Ja tos izdzēšat, nākamajā programmas atvēršanas reizē tiks parādīts PCA dialoglodziņš.
3. attēls. To programmu saraksts, kuras jāpalaiž, izmantojot saderības iestatījumus
Šī programma darbojās pareizi
Izvēloties šo opciju, lietojumprogramma tiek aizvērta kā parasti. Nākamreiz, kad atvērsit programmu, dialoglodziņš PCA netiek parādīts. Sistēma bloķē visu TLS 1.0 un 1.1 saturu. Reģistra redaktors pievieno tālāk norādīto ierakstu ceļamComputer\HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Store . Skatiet 4. attēlu. Ja šo opciju izvēlējāties kļūdas dēļ, šo ierakstu var izdzēst. Dzēšot ierakstu, nākamajā programmas atvēršanas reizē tiks parādīts PCA dialoglodziņš.
4. attēls. Ieraksts reģistra redaktorā, kurā norādīts, ka programma darbojās pareizi
Svarīgi! Mantotie TLS protokoli ir iespējoti tikai konkrētām lietojumprogrammām. Tas ir iespējams pat tad, ja ir atspējoti sistēmas mēroga iestatījumi.
TLS versijas 1.1 un jaunākas versijas iespējošana (wininet un Internet Explorer iestatījumi)
Mēs neiesakām iespējot TLS 1.1 un tālāk, jo tie vairs netiek uzskatīti par drošiem. Tie ir neaizsargāti pret dažādiem uzbrukumiem, piemēram, POODLE uzbrukumu. Tāpēc pirms TLS 1.1 iespējošanas veiciet kādu no šīm darbībām:
-
Pārbaudiet, vai ir pieejama jaunāka lietojumprogrammas versija.
-
Lūdziet lietojumprogrammas izstrādātājam veikt konfigurācijas izmaiņas lietojumprogrammā, lai noņemtu TLS 1.1 un tālāk.
Ja neviens no risinājumiem nedarbotos, pastāv divi veidi, kā iespējot mantotos TLS protokolus sistēmas mēroga iestatījumos:
-
Interneta opcijas
-
Grupas politikas redaktors
Interneta opcijas
Lai atvērtu sadaļu Interneta opcijas, uzdevumjoslas meklēšanas lodziņā ierakstiet Interneta opcijas. Varat arī atlasīt Mainīt iestatījumus dialoglodziņā, kas parādīts 1. attēlā. Cilnē Papildu ritiniet uz leju iestatījumu panelī . Šeit varat iespējot vai atspējot TLS protokolus.
5. attēls. Dialoglodziņš Interneta rekvizīti
The grupas politika Editor
Lai atvērtu grupas politika, ierakstiet gpedit.msc uzdevumjoslas meklēšanas lodziņā. Tiek parādīts 6. attēlā redzamais logs.
Figure 6: grupas politika Editor window
-
Naviģējiet uz local computer Policy > (Computer Configuration or User Configuration) > Administrative Templets > Windows Components > Internet Explorer > Internet vadības panelis > Advanced Page > Turn off encryption support. Skatiet 7. attēlu.
-
Veiciet dubultklikšķi uz Izslēgt šifrēšanas atbalstu.
7. attēls. Ceļš, lai izslēgtu šifrēšanas atbalstu programmā grupas politika Editor
-
Atlasiet opciju Iespējots . Pēc tam izmantojiet nolaižamo sarakstu, lai atlasītu TLS versiju, ko vēlaties iespējot, kā parādīts 8. attēlā.
8. attēls. Šifrēšanas atbalsta un nolaižamā saraksta izslēgšana
Tiklīdz šī politika ir iespējota grupas politika redaktorā, to nevar mainīt sadaļā Interneta opcijas. Piemēram, ja atlasāt Lietot SSL3.0 un TLS 1.0, visas pārējās opcijas nebūs pieejamas sadaļā Interneta opcijas. Skatiet 9. attēlu. Interneta opciju iestatījumus nevar mainīt, ja datora redaktorā iespējojat šifrēšanas grupas politika atbalstu.
9. attēls: interneta opcijas, kurās tiek rādīti nepieejami SSL un TLS iestatījumi
TLS versijas 1.1 un jaunākas versijas iespējošana (laimēthttp iestatījumi)
Svarīgi reģistra ceļi (wininet un Internet Explorer iestatījumi)
-
Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings
-
Šeit varat atrast SecureProtocols, kas saglabā pašlaik iespējoto protokolu vērtību, ja izmantojat grupas politika redaktoru.
-
-
Computer\HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings
-
Šeit varat atrast SecureProtocols, kas saglabā pašlaik iespējoto protokolu vērtību, ja izmantojat interneta opcijas.
-
-
grupas politika SecureProtocols prioritāte ir attiecībā pret iestatījuma opciju Interneta opcijas.
Insecure TLS atkāpšanās iespējošana
Iepriekš minētās modifikācijas iespējos TLS 1.0 un TLS 1.1. Tomēr tās neiespējos TLS atkāpjumversāciju. Lai iespējotu TLS atkāpšanos, ir jāiestata EnableInsecureTlsFallback uz 1 reģistrā zem ceļiem.
-
Iestatījumu maiņa: SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\winhttp
-
Politikas iestatīšana: SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings
Ja enableInsecureTlsFallback nav, izveidojiet jaunu DWORD ierakstu un iestatiet to uz 1.
Svarīgi reģistra ceļi
-
ForceDefaultSecureProtocols
-
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\winhttp
-
Pēc noklusējuma tā ir FALSE. Iestatot vērtību, kas nav nulle, vairs netiks iestatīti pielāgoti protokoli, izmantojot winhttp opciju.
-
-
EnableInsecureTlsFallback
-
Iestatījumu maiņa: SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\winhttp
-
Politikas iestatīšana: SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings
-
Pēc noklusējuma tā ir FALSE. Iestatot vērtību, kas nav nulle, lietojumprogrammas atskan uz nedrošiem protokoliem (TLS1.0 un 1.1), ja handshake neizdodas ar drošiem protokoliem (tls1.2 un vairāk).
-