Applies ToWin 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows Server 2019 Windows 10 Enterprise Multi-Session, version 20H2 Windows 10 Enterprise and Education, version 20H2 Windows 10 IoT Enterprise, version 20H2 Windows 10 on Surface Hub Windows 10, version 21H1, all editions Windows 10, version 21H2, all editions

Zhrnutie

Transport Layer Security (TLS) 1.0 a 1.1 sú protokoly zabezpečenia na vytváranie šifrovacích kanálov prostredníctvom počítačových sietí. Microsoft podporuje od Windows XP a Windows Server 2003. Regulačné požiadavky sa však menia. V protokole TLS 1.0 sa tiež vyskytujú nové nedostatky zabezpečenia. Preto Microsoft odporúča odstrániť závislosti TLS 1.0 a 1.1. Odporúčame tiež vypnúť TLS 1.0 a 1.1 na úrovni operačného systému, ak je to možné. Ďalšie podrobnosti nájdete v témach Vypnutie TLS 1.0 a 1.1. V aktualizácii verzie Preview z 20. septembra 2022 predvolene vypneme protokol TLS 1.0 a 1.1 pre aplikácie založené na winhttp a wininet. Je to súčasť prebiehajúceho úsilia. Tento článok vám pomôže ich opätovné zapnutie. Tieto zmeny sa prejavia po inštalácii aktualizácií Windowsu vydaných 20. septembra 2022 alebo po ňom.  

Správanie pri prístupe k prepojeniam TLS 1.0 a 1.1 v prehliadači

Po 20. septembri 2022 sa po otvorení webovej lokality, ktorá používa protokol TLS 1.0 alebo 1.1, zobrazí hlásenie. Pozri obrázok 1. V hlásení sa uvádza, že lokalita používa zastaraný alebo nebezpečný protokol TLS. Na vyriešenie tohto problému môžete aktualizovať protokol TLS na protokol TLS 1.2 alebo novší. Ak to nie je možné, môžete povoliť protokol TLS tak, ako je popísané v povolení TLS verzie 1.1 a nižšie.

Okno Internet Explorera pri prístupe k prepojenej verzii TLS 1.0 a 1.1

Obrázok 1: Okno prehliadača pri prístupe k webovej stránke TLS 1.0 a 1.1

Správanie pri prístupe k prepojeniam TLS 1.0 a 1.1 v aplikáciách winhttp

Po aktualizácii môžu aplikácie založené na winhttp zlyhať. Chybové hlásenie je "ERROR_WINHTTP_SECURE_FAILURE pri vykonávaní operácie WinHttpSendRequest."

Správanie pri prístupe k prepojeniam TLS 1.0 a 1.1 vo vlastných aplikáciách používateľského rozhrania na základe winhttp alebo wininet

Keď sa aplikácia pokúsi vytvoriť pripojenie pomocou protokolu TLS 1.1 a nižšie, môže sa zdať, že pripojenie zlyhá. Keď zatvoríte aplikáciu alebo prestane fungovať, zobrazí sa dialógové okno Asistent pre kompatibilitu programu (PCA), ako je znázornené na obrázku 2.

Kontextová ponuka Asistent pre kompatibilitu programu po zatvorení aplikácie

Obrázok 2: Dialógové okno Asistent pre kompatibilitu programu po zatvorení aplikácie

V dialógovom okne PCA sa zobrazí hlásenie Tento program pravdepodobne nebol spustený správne. Na základe toho existujú dve možnosti:

  • Spustenie programu pomocou nastavení kompatibility

  • Tento program sa spustil správne

Spustenie programu pomocou nastavení kompatibility

Keď vyberiete túto možnosť, aplikácia sa znova otvorí. Teraz všetky prepojenia, ktoré používajú protokol TLS 1.0 a 1.1, fungujú správne. Odteraz sa nezobrazí žiadne dialógové okno PCA. Editor databázy Registry pridá položky k nasledujúcim cestám:

  • Computer\HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Store

  • Computer\HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Layers. 

Ak ste túto možnosť vybrali omylom, môžete tieto položky odstrániť. Ak ich odstránite, pri ďalšom otvorení aplikácie sa zobrazí dialógové okno PCA.

Zoznam programov, ktoré by sa mali spustiť pomocou nastavení kompatibility

Obrázok 3: Zoznam programov, ktoré by sa mali spúšťať pomocou nastavení kompatibility

Tento program sa spustil správne

Keď vyberiete túto možnosť, aplikácia sa zavrie normálne. Pri ďalšom otvorení aplikácie sa nezobrazí žiadne dialógové okno PCA. Systém blokuje všetok obsah TLS 1.0 a 1.1. Editor databázy Registry pridá nasledujúcu položku do cestyComputer\HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Store. Pozri obrázok 4. Ak ste túto možnosť vybrali omylom, môžete túto položku odstrániť. Ak odstránite položku, pri ďalšom otvorení aplikácie sa zobrazí dialógové okno PCA.

Položka v editore databázy Registry určujúca, že aplikácia sa spustila správne

Obrázok 4: Položka v Editore databázy Registry s uvedením, že aplikácia funguje správne

Dôležité Staršie protokoly TLS sú povolené len pre konkrétne aplikácie. Platí to aj v prípade, že sú zakázané v nastaveniach celého systému.

Povoliť protokol TLS verzie 1.1 a nižšie (nastavenia wininetu a Internet Explorera)

Neodporúčame povoliť TLS 1.1 a nižšie, pretože sa už nepovažujú za bezpečné. Sú zraniteľní voči rôznym útokom, ako je napríklad útok POODLE. Pred povolením TLS 1.1 vykonajte jeden z týchto krokov:

  • Skontrolujte, či je k dispozícii novšia verzia aplikácie.

  • Požiadajte vývojára aplikácie, aby v aplikácii urobil zmeny konfigurácie a odstránil závislosť od TLS 1.1 a nižšie.

V prípade, že žiadne riešenie nefunguje, existujú dva spôsoby, ako povoliť staršie protokoly TLS v nastaveniach celého systému:

  • Možnosti internetu

  • Editor skupinovej politiky

Možnosti internetu

Ak chcete otvoriť možnosti internetu, do vyhľadávacieho poľa na paneli úloh zadajte výraz Možnosti internetu . V dialógovom okne zobrazenom na obrázku 1 môžete tiež vybrať položku Zmeniť nastavenia . Na karte Rozšírené sa posuňte nadol na paneli Nastavenia . Tam môžete povoliť alebo zakázať protokoly TLS.

Okno Možnosti internetu

Obrázok 5: Dialógové okno Vlastnosti internetu

Editor skupinová politika

Ak chcete otvoriť editor skupinová politika, do vyhľadávacieho poľa na paneli úloh zadajte reťazec gpedit.msc. Zobrazí sa okno podobné oknu zobrazenému na obrázku 6. 

Okno editora skupinovej politiky

Obrázok 6: okno editora skupinová politika

  1. Prejdite na > politiky lokálneho počítača(konfigurácia počítača alebo konfigurácia používateľa) > správcovské chrámy > súčasti systému Windows > Internet Explorer > Internet ovládací panel > Rozšírená stránka > Vypnite podporu šifrovania. Pozri obrázok 7.

  2. Dvakrát kliknite na položku Vypnúť podporu šifrovania.

    Cesta k vypnutiu podpory šifrovania v súbore GPedit.msc

    Obrázok 7: Cesta na vypnutie podpory šifrovania v editore skupinová politika

  3. Vyberte možnosť Povolené . Potom pomocou rozbaľovacieho zoznamu vyberte verziu TLS, ktorú chcete povoliť, ako je to znázornené na obrázku 8.

    Zapnutá podpora šifrovania s rozbaľovacím zoznamom zobrazujúcim rôzne možnosti

    Obrázok 8: Zapnutie vypnutia podpory šifrovania a rozbaľovacieho zoznamu

Po zapnutí politiky v editore skupinová politika ju nemôžete zmeniť v časti Možnosti internetu. Ak napríklad vyberiete možnosť Použiť SSL3.0 a TLS 1.0, všetky ostatné možnosti nebudú v možnostiach internetu k dispozícii. Pozri obrázok 9. Ak povolíte vypnúť podporu šifrovania v editore skupinová politika, nemôžete zmeniť žiadne z nastavení v možnostiach internetu.

Možnosti internetu so sivými nastaveniami SSL a TLS

Obrázok 9: Možnosti internetu zobrazujúce nedostupné nastavenia SSL a TLS

Povolenie TLS verzie 1.1 a nižšie (nastavenia winhttp)

Pozrite si tému Aktualizácia a povoľte protokolY TLS 1.1 a TLS 1.2 ako predvolené zabezpečené protokoly vo WinHTTP vo Windowse.

Dôležité cesty k databáze Registry (nastavenia wininetu a Internet Explorera)

  • Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings

    • Tu môžete nájsť secureprotocols, ktorý ukladá hodnotu aktuálne povolených protokolov, ak používate skupinová politika Editor.

  • Computer\HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings

    • Tu nájdete secureprotocols, ktorý ukladá hodnotu aktuálne povolených protokolov, ak používate možnosti internetu.

  • skupinová politika SecureProtocols bude mať prednosť pred tým, ktorý nastavujú možnosti internetu.

Povolenie nezabezpečeného Záložného zabezpečenia na úrovni riadkov

Úpravy uvedené vyššie umožnia TLS 1.0 a TLS 1.1. Nepovolia však Záložnú funkciu TLS. Ak chcete povoliť záložnú funkciu TLS, musíte v databáze Registry nastaviť hodnotu EnableInsecureTlsFallback na hodnotu 1 v nižšie uvedených cestách.

  • Zmena nastavení: SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\winhttp

  • Nastavenie politiky: SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings

Ak funkcia EnableInsecureTlsFallback nie je k dispozícii, musíte vytvoriť novú položku DWORD a nastaviť ju na hodnotu 1.

Dôležité cesty databázy Registry

  1. ForceDefaultSecureProtocols  

    • HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\winhttp 

    • Predvolene má hodnotu FALSE. Nastavením nenulovej hodnoty zabránite aplikáciám nastaviť vlastné protokoly pomocou možnosti winhttp.

  2. EnableInsecureTlsFallback 

    • Zmena nastavení: SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\winhttp

    • Nastavenie politiky: SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings

    • Predvolene má hodnotu FALSE. Nastavenie nenulovej hodnoty umožní aplikáciám vrátiť sa k nezabezpečeným protokolom (TLS1.0 a 1.1), ak podanie ruky zlyhá s zabezpečenými protokolmi (tls1.2 a vyššie).

Potrebujete ďalšiu pomoc?

Chcete ďalšie možnosti?

Môžete preskúmať výhody predplatného, prehľadávať školiace kurzy, naučiť sa zabezpečiť svoje zariadenie a ešte oveľa viac.

Komunity pomôžu s kladením otázok a odpovedaním na ne, s poskytovaním pripomienok a so získavaním informácií od odborníkov s bohatými znalosťami.