Zhrnutie
Transport Layer Security (TLS) 1.0 a 1.1 sú protokoly zabezpečenia na vytváranie šifrovacích kanálov prostredníctvom počítačových sietí. Microsoft podporuje od Windows XP a Windows Server 2003. Regulačné požiadavky sa však menia. V protokole TLS 1.0 sa tiež vyskytujú nové nedostatky zabezpečenia. Preto Microsoft odporúča odstrániť závislosti TLS 1.0 a 1.1. Odporúčame tiež vypnúť TLS 1.0 a 1.1 na úrovni operačného systému, ak je to možné. Ďalšie podrobnosti nájdete v témach Vypnutie TLS 1.0 a 1.1. V aktualizácii verzie Preview z 20. septembra 2022 predvolene vypneme protokol TLS 1.0 a 1.1 pre aplikácie založené na winhttp a wininet. Je to súčasť prebiehajúceho úsilia. Tento článok vám pomôže ich opätovné zapnutie. Tieto zmeny sa prejavia po inštalácii aktualizácií Windowsu vydaných 20. septembra 2022 alebo po ňom.
Správanie pri prístupe k prepojeniam TLS 1.0 a 1.1 v prehliadači
Po 20. septembri 2022 sa po otvorení webovej lokality, ktorá používa protokol TLS 1.0 alebo 1.1, zobrazí hlásenie. Pozri obrázok 1. V hlásení sa uvádza, že lokalita používa zastaraný alebo nebezpečný protokol TLS. Na vyriešenie tohto problému môžete aktualizovať protokol TLS na protokol TLS 1.2 alebo novší. Ak to nie je možné, môžete povoliť protokol TLS tak, ako je popísané v povolení TLS verzie 1.1 a nižšie.
Obrázok 1: Okno prehliadača pri prístupe k webovej stránke TLS 1.0 a 1.1
Správanie pri prístupe k prepojeniam TLS 1.0 a 1.1 v aplikáciách winhttp
Po aktualizácii môžu aplikácie založené na winhttp zlyhať. Chybové hlásenie je "ERROR_WINHTTP_SECURE_FAILURE pri vykonávaní operácie WinHttpSendRequest."
Správanie pri prístupe k prepojeniam TLS 1.0 a 1.1 vo vlastných aplikáciách používateľského rozhrania na základe winhttp alebo wininet
Keď sa aplikácia pokúsi vytvoriť pripojenie pomocou protokolu TLS 1.1 a nižšie, môže sa zdať, že pripojenie zlyhá. Keď zatvoríte aplikáciu alebo prestane fungovať, zobrazí sa dialógové okno Asistent pre kompatibilitu programu (PCA), ako je znázornené na obrázku 2.
Obrázok 2: Dialógové okno Asistent pre kompatibilitu programu po zatvorení aplikácie
V dialógovom okne PCA sa zobrazí hlásenie Tento program pravdepodobne nebol spustený správne. Na základe toho existujú dve možnosti:
-
Spustenie programu pomocou nastavení kompatibility
-
Tento program sa spustil správne
Spustenie programu pomocou nastavení kompatibility
Keď vyberiete túto možnosť, aplikácia sa znova otvorí. Teraz všetky prepojenia, ktoré používajú protokol TLS 1.0 a 1.1, fungujú správne. Odteraz sa nezobrazí žiadne dialógové okno PCA. Editor databázy Registry pridá položky k nasledujúcim cestám:
-
Computer\HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Store.
-
Computer\HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Layers.
Ak ste túto možnosť vybrali omylom, môžete tieto položky odstrániť. Ak ich odstránite, pri ďalšom otvorení aplikácie sa zobrazí dialógové okno PCA.
Obrázok 3: Zoznam programov, ktoré by sa mali spúšťať pomocou nastavení kompatibility
Tento program sa spustil správne
Keď vyberiete túto možnosť, aplikácia sa zavrie normálne. Pri ďalšom otvorení aplikácie sa nezobrazí žiadne dialógové okno PCA. Systém blokuje všetok obsah TLS 1.0 a 1.1. Editor databázy Registry pridá nasledujúcu položku do cestyComputer\HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Store. Pozri obrázok 4. Ak ste túto možnosť vybrali omylom, môžete túto položku odstrániť. Ak odstránite položku, pri ďalšom otvorení aplikácie sa zobrazí dialógové okno PCA.
Obrázok 4: Položka v Editore databázy Registry s uvedením, že aplikácia funguje správne
Dôležité Staršie protokoly TLS sú povolené len pre konkrétne aplikácie. Platí to aj v prípade, že sú zakázané v nastaveniach celého systému.
Povoliť protokol TLS verzie 1.1 a nižšie (nastavenia wininetu a Internet Explorera)
Neodporúčame povoliť TLS 1.1 a nižšie, pretože sa už nepovažujú za bezpečné. Sú zraniteľní voči rôznym útokom, ako je napríklad útok POODLE. Pred povolením TLS 1.1 vykonajte jeden z týchto krokov:
-
Skontrolujte, či je k dispozícii novšia verzia aplikácie.
-
Požiadajte vývojára aplikácie, aby v aplikácii urobil zmeny konfigurácie a odstránil závislosť od TLS 1.1 a nižšie.
V prípade, že žiadne riešenie nefunguje, existujú dva spôsoby, ako povoliť staršie protokoly TLS v nastaveniach celého systému:
-
Možnosti internetu
-
Editor skupinovej politiky
Možnosti internetu
Ak chcete otvoriť možnosti internetu, do vyhľadávacieho poľa na paneli úloh zadajte výraz Možnosti internetu . V dialógovom okne zobrazenom na obrázku 1 môžete tiež vybrať položku Zmeniť nastavenia . Na karte Rozšírené sa posuňte nadol na paneli Nastavenia . Tam môžete povoliť alebo zakázať protokoly TLS.
Obrázok 5: Dialógové okno Vlastnosti internetu
Editor skupinová politika
Ak chcete otvoriť editor skupinová politika, do vyhľadávacieho poľa na paneli úloh zadajte reťazec gpedit.msc. Zobrazí sa okno podobné oknu zobrazenému na obrázku 6.
Obrázok 6: okno editora skupinová politika
-
Prejdite na > politiky lokálneho počítača(konfigurácia počítača alebo konfigurácia používateľa) > správcovské chrámy > súčasti systému Windows > Internet Explorer > Internet ovládací panel > Rozšírená stránka > Vypnite podporu šifrovania. Pozri obrázok 7.
-
Dvakrát kliknite na položku Vypnúť podporu šifrovania.
Obrázok 7: Cesta na vypnutie podpory šifrovania v editore skupinová politika
-
Vyberte možnosť Povolené . Potom pomocou rozbaľovacieho zoznamu vyberte verziu TLS, ktorú chcete povoliť, ako je to znázornené na obrázku 8.
Obrázok 8: Zapnutie vypnutia podpory šifrovania a rozbaľovacieho zoznamu
Po zapnutí politiky v editore skupinová politika ju nemôžete zmeniť v časti Možnosti internetu. Ak napríklad vyberiete možnosť Použiť SSL3.0 a TLS 1.0, všetky ostatné možnosti nebudú v možnostiach internetu k dispozícii. Pozri obrázok 9. Ak povolíte vypnúť podporu šifrovania v editore skupinová politika, nemôžete zmeniť žiadne z nastavení v možnostiach internetu.
Obrázok 9: Možnosti internetu zobrazujúce nedostupné nastavenia SSL a TLS
Povolenie TLS verzie 1.1 a nižšie (nastavenia winhttp)
Pozrite si tému Aktualizácia a povoľte protokolY TLS 1.1 a TLS 1.2 ako predvolené zabezpečené protokoly vo WinHTTP vo Windowse.
Dôležité cesty k databáze Registry (nastavenia wininetu a Internet Explorera)
-
Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings
-
Tu môžete nájsť secureprotocols, ktorý ukladá hodnotu aktuálne povolených protokolov, ak používate skupinová politika Editor.
-
-
Computer\HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings
-
Tu nájdete secureprotocols, ktorý ukladá hodnotu aktuálne povolených protokolov, ak používate možnosti internetu.
-
-
skupinová politika SecureProtocols bude mať prednosť pred tým, ktorý nastavujú možnosti internetu.
Povolenie nezabezpečeného Záložného zabezpečenia na úrovni riadkov
Úpravy uvedené vyššie umožnia TLS 1.0 a TLS 1.1. Nepovolia však Záložnú funkciu TLS. Ak chcete povoliť záložnú funkciu TLS, musíte v databáze Registry nastaviť hodnotu EnableInsecureTlsFallback na hodnotu 1 v nižšie uvedených cestách.
-
Zmena nastavení: SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\winhttp
-
Nastavenie politiky: SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings
Ak funkcia EnableInsecureTlsFallback nie je k dispozícii, musíte vytvoriť novú položku DWORD a nastaviť ju na hodnotu 1.
Dôležité cesty databázy Registry
-
ForceDefaultSecureProtocols
-
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\winhttp
-
Predvolene má hodnotu FALSE. Nastavením nenulovej hodnoty zabránite aplikáciám nastaviť vlastné protokoly pomocou možnosti winhttp.
-
-
EnableInsecureTlsFallback
-
Zmena nastavení: SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\winhttp
-
Nastavenie politiky: SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings
-
Predvolene má hodnotu FALSE. Nastavenie nenulovej hodnoty umožní aplikáciám vrátiť sa k nezabezpečeným protokolom (TLS1.0 a 1.1), ak podanie ruky zlyhá s zabezpečenými protokolmi (tls1.2 a vyššie).
-