KB5017811 — Gerir o Transport Layer Security (TLS) 1.0 e 1.1 após a alteração de comportamento predefinida em 20 de setembro de 2022

Resumo

Transport Layer Security (TLS) 1.0 e 1.1 são protocolos de segurança para criar canais de encriptação através de redes de computadores. Microsoft os suporta desde o Windows XP e o Windows Server 2003. No entanto, os requisitos regulamentares estão a mudar. Além disso, existem novas fraquezas de segurança no TLS 1.0. Assim, Microsoft recomenda que remova as dependências TLS 1.0 e 1.1. Também recomendamos que desative o TLS 1.0 e 1.1 ao nível do sistema operativo sempre que possível. Para obter mais detalhes, veja Desativação do TLS 1.0 e 1.1. Na atualização de pré-visualização de 20 de setembro de 2022, iremos desativar o TLS 1.0 e 1.1 por predefinição para aplicações baseadas em winhttp e wininet. Isto faz parte de um esforço contínuo. Este artigo irá ajudá-lo a reativar os mesmos. Estas alterações serão refletidas após a instalação das atualizações do Windows lançadas em ou depois de 20 de setembro de 2022.

Comportamento ao aceder às ligações TLS 1.0 e 1.1 no browser

Depois de 20 de setembro de 2022, será apresentada uma mensagem quando o browser abrir um site que utiliza o TLS 1.0 ou 1.1. Veja a Figura 1. A mensagem indica que o site utiliza um protocolo TLS desatualizado ou não seguro. Para resolver este problema, pode atualizar o protocolo TLS para o TLS 1.2 ou superior. Se isto não for possível, pode ativar o TLS conforme abordado em Ativar a versão 1.1 e abaixo do TLS.

Janela do Internet Explorer ao aceder à ligação TLS 1.0 e 1.1

Figura 1: janela do browser ao aceder à página Web do TLS 1.0 e 1.1

Comportamento ao aceder às ligações TLS 1.0 e 1.1 em aplicações winhttp

Após a atualização, as aplicações baseadas no winhttp podem falhar. A mensagem de erro é " ERROR_WINHTTP_SECURE_FAILURE durante a operação WinHttpSendRequest".

Comportamento ao aceder às ligações TLS 1.0 e 1.1 em aplicações de IU personalizadas com base no winhttp ou wininet

Quando uma aplicação tenta criar uma ligação com o TLS 1.1 e abaixo, a ligação poderá parecer falhar. Quando fecha uma aplicação ou esta deixa de funcionar, a caixa de diálogo Assistente de Compatibilidade de Programas (PCA) é apresentada conforme mostrado na Figura 2.

Pop-up do Assistente de Compatibilidade de Programas após fechar a aplicação

Figura 2: caixa de diálogo Assistente de Compatibilidade de Programas após fechar uma aplicação

A caixa de diálogo PCA indica "Este programa pode não ter sido executado corretamente". Abaixo disso, existem duas opções:

Executar o programa com as definições de compatibilidade
Este programa foi executado corretamente

Executar o programa com as definições de compatibilidade

Quando escolhe esta opção, a aplicação é reaberta. Agora, todas as ligações que utilizam o TLS 1.0 e 1.1 funcionam corretamente. A partir daí, não será apresentada nenhuma caixa de diálogo PCA. O Editor de Registo adiciona entradas aos seguintes caminhos:

Computer\HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Store.
Computer\HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Layers.

Se tiver escolhido esta opção por engano, pode eliminar estas entradas. Se os eliminar, verá a caixa de diálogo PCA da próxima vez que abrir a aplicação.

Lista de programas que devem ser executados com as definições de compatibilidade

Figura 3: lista de programas que devem ser executados com as definições de compatibilidade

Este programa foi executado corretamente

Quando escolhe esta opção, a aplicação fecha normalmente. Da próxima vez que reabrir a aplicação, não será apresentada nenhuma caixa de diálogo PCA. O sistema bloqueia todos os conteúdos do TLS 1.0 e 1.1. O Editor de Registo adiciona a seguinte entrada ao caminhoComputer\HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Store. Veja a Figura 4. Se tiver escolhido esta opção por engano, pode eliminar esta entrada. Se eliminar a entrada, verá a caixa de diálogo PCA da próxima vez que abrir a aplicação.

Entrada no editor de registo a especificar que a aplicação foi executada corretamente

Figura 4: Entrada no Editor de Registo a indicar que a aplicação foi executada corretamente

Importante Os protocolos TLS legados só estão ativados para aplicações específicas. Isto é verdade, apesar de estarem desativados nas definições ao nível do sistema.

Ativar a versão 1.1 e abaixo do TLS (definições wininet e Internet Explorer)

Não recomendamos a ativação do TLS 1.1 e inferior porque já não são considerados seguros. São vulneráveis a vários ataques, como o ataque POODLE. Assim, antes de ativar o TLS 1.1, efetue um dos seguintes procedimentos:

Verifique se está disponível uma versão mais recente da aplicação.
Peça ao programador da aplicação para fazer alterações de configuração na aplicação para remover a dependência no TLS 1.1 e abaixo.

Caso nenhuma das soluções funcione, existem duas formas de ativar os protocolos TLS legados em definições ao nível do sistema:

Opções da Internet
Editor de Políticas de Grupo

Opções da Internet

Para abrir as Opções da Internet, escreva Opções da Internet na caixa de pesquisa na barra de tarefas. Também pode selecionar Alterar definições na caixa de diálogo apresentada na Figura 1. No separador Avançadas , desloque-se para baixo no painel Definições . Aí, pode ativar ou desativar os protocolos TLS.

Janela Opções da Internet

Figura 5: caixa de diálogo Propriedades da Internet

O Editor de Política de Grupo

Para abrir o Editor de Política de Grupo, escreva gpedit.msc na caixa de pesquisa da barra de tarefas. É apresentada uma janela como a apresentada na Figura 6.

Janela editor de políticas de grupo

Figura 6: Política de Grupo janela editor

Navegue para Local Computer Policy > (Configuração do Computador ou Configuração do Utilizador) > Templets Administrativos > Componentes do Windows > Internet Explorer > Internet Painel de Controlo > Página Avançada > Desativar o suporte de encriptação. Veja a Figura 7.
Faça duplo clique em Desativar suporte de encriptação.

Figura 7: Caminho para desativar o suporte de encriptação no Editor Política de Grupo
Selecione a opção Ativado . Em seguida, utilize a lista pendente para selecionar a versão TLS que pretende ativar, conforme mostrado na Figura 8.

Figura 8: Ativar Desativar o suporte de encriptação e a lista pendente

Depois de ativar a política no Editor de Política de Grupo, não pode alterá-la nas Opções da Internet. Por exemplo, se selecionar Utilizar SSL3.0 e TLS 1.0, todas as outras opções estarão indisponíveis nas Opções da Internet. Veja a Figura 9. Não pode alterar nenhuma das definições nas Opções da Internet se ativar Desativar o suporte de encriptação no Editor de Política de Grupo.

Opções da Internet com definições de SSL e TLS a cinzento

Figura 9: Opções da Internet que mostram as definições de SSL e TLS indisponíveis

Ativar a versão 1.1 e abaixo do TLS (definições winhttp)

Consulte Atualizar para ativar o TLS 1.1 e o TLS 1.2 como protocolos seguros predefinidos no WinHTTP no Windows.

Caminhos de registo importantes (definições wininet e Internet Explorer)

Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings
- Aqui, pode encontrar SecureProtocols, que armazena o valor dos protocolos atualmente ativados se utilizar o editor de Política de Grupo.
Computer\HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings
- Aqui, pode encontrar SecureProtocols, que armazena o valor dos protocolos atualmente ativados se utilizar Opções da Internet.
Política de Grupo SecureProtocols terá precedência sobre o conjunto definido pelas Opções da Internet.

Ativar a contingência insegura do TLS

As modificações acima ativarão o TLS 1.0 e o TLS 1.1. No entanto, não ativarão a contingência do TLS. Para ativar a contingência do TLS, tem de definir EnableInsecureTlsFallback como 1 no registo nos caminhos abaixo.

Para alterar as definições: SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\winhttp
Para definir a política: SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings

Se EnableInsecureTlsFallback não estiver presente, tem de criar uma nova entrada DWORD e defini-la como 1.

Caminhos de registo importantes

ForceDefaultSecureProtocols
- HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\winhttp
- É FALSO por predefinição. Definir um valor diferente de zero impedirá as aplicações de definir protocolos personalizados com a opção winhttp.
EnableInsecureTlsFallback
- Para alterar as definições: SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\winhttp
- Para definir a política: SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings
- É FALSO por predefinição. Definir um valor diferente de zero permitirá que as aplicações revertam para protocolos não seguros (TLS1.0 e 1.1) se o handshake falhar com protocolos seguros (tls1.2 e superior).