Povzetek

TLS (Transport Layer Security) 1.0 in 1.1 sta varnostna protokola za ustvarjanje šifrirnih kanalov prek računalniških omrežij. Microsoft jih je podpiral od izdaje windows XP in Windows Server 2003. Vendar se regulativne zahteve spreminjajo. Poleg tega so v TLS 1.0 na voljo nove varnostne pomanjkljivosti. Zato Microsoft priporoča, da odstranite odvisnosti TLS 1.0 in 1.1. Priporočamo tudi, da onemogočite TLS 1.0 in 1.1 na ravni operacijskega sistema, kjer je to mogoče. Če želite več informacij, glejte Onemogočanje TLS 1.0 in 1.1. V posodobitvi predogleda z dne 20. septembra 2022 bomo privzeto onemogočili TLS 1.0 in 1.1 za aplikacije, ki temeljijo na winhttp in wininet. To je del nenehnega truda. Ta članek vam bo pomagal, da jih znova omogočite.   

Delovanje pri dostopu do povezav TLS 1.0 in 1.1 v brskalniku

Po 20. septembru 2022 se bo prikazalo sporočilo, ko bo vaš brskalnik odprl spletno mesto, ki uporablja TLS 1.0 ali 1.1. Glejte sliko 1. V sporočilu je prikazano, da spletno mesto uporablja zastarel ali nevaren protokol TLS. Če želite odpraviti to težavo, lahko posodobite protokol TLS na TLS 1.2 ali novejšo. Če to ni mogoče, lahko omogočite TLS, kot je opisano v razdelku Omogočanje TLS-ja različice 1.1 in spodaj.

Okno brskalnika Internet Explorer pri dostopu do povezave TLS 1.0 in 1.1

Slika 1: Okno brskalnika pri dostopu do spletne strani TLS 1.0 in 1.1

Delovanje pri dostopu do povezav TLS 1.0 in 1.1 v sistemu Winhttp programi

Po posodobitvi aplikacije, ki temeljijo na winhttp, morda ne bodo uspele. Sporočilo o napaki se imenuje »ERROR_WINHTTP_SECURE_FAILURE med izvajanjem operacije WinHttpSendRequest«.

Delovanje pri dostopu do povezav TLS 1.0 in 1.1 v aplikacijah uporabniškega vmesnika po meri, ki temeljijo na winhttp ali wininet

Ko aplikacija poskuša ustvariti povezavo s TLS 1.1 in spodnjimi različicami, se lahko zdi, da povezava ni uspela. Ko zaprete aplikacijo ali ta preneha delovati, se prikaže pogovorno okno Pomočnik za združljivost programov (PCA), kot je prikazano na sliki 2.

Pojavno okno pomočnika za združljivost programa po zapiranju programa

Slika 2: Pogovorno okno pomočnika za združljivost programov po zapiranju programa

V pogovornem oknu PCA se prikaže sporočilo »Ta program morda ni deloval pravilno«. Pod tem sta na voljo dve možnosti:

  • Zaženite program z nastavitvami združljivosti

  • Ta program se je pravilno zagnal

Zaženite program z nastavitvami združljivosti

Ko izberete to možnost, se aplikacija znova odpre. Zdaj vse povezave, ki uporabljajo TLS 1.0 in 1.1, delujejo pravilno. Od takrat naprej se ne bo prikazalo nobeno pogovorno okno PCA. Urejevalnik registra doda vnose na te poti:

  • Computer\HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Store

  • Computer\HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Layers. 

Če ste to možnost izbrali pomotoma, lahko te vnose izbrišete. Če jih izbrišete, se bo pogovorno okno PCA prikazalo, ko naslednjič odprete aplikacijo.

Seznam programov, ki jih je treba zagnali z nastavitvami združljivosti

Slika 3: Seznam programov, ki bi se morali zagnati z nastavitvami združljivosti

Ta program se je pravilno zagnal

Ko izberete to možnost, se aplikacija normalno zapre. Ko boste naslednjič znova odprli aplikacijo, se ne bo odprlo pogovorno okno PCA. Sistem blokira vso vsebino TLS 1.0 in 1.1. Urejevalnik registra doda ta vnos v potComputer\HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Store . Glejte sliko 4. Če ste to možnost izbrali pomotoma, lahko ta vnos izbrišete. Če izbrišete vnos, se bo pogovorno okno PCA prikazalo, ko boste naslednjič odprli aplikacijo.

Vnos v urejevalnik registra, ki navaja, da se je program zagnal pravilno

Slika 4: Vnos v urejevalnik registra, ki navaja, da se je program zagnal pravilno

Pomembno Podedovani protokoli TLS so omogočeni le za določene aplikacije. To velja, čeprav so onemogočene v sistemskih nastavitvah.

Omogočanje TLS različice 1.1 in spodaj (nastavitve wininet in Internet Explorer)

Podedovane protokole TLS lahko v nastavitvah za celoten sistem omogočite na dva načina:

  • Internetne možnosti

  • Urejevalnik pravilnika skupine

Internetne možnosti

Če želite odpreti Internetne možnosti, v iskalno polje v opravilni vrstici vnesite Internetne možnosti. Nastavitve lahko izberete tudi v pogovornem oknu, ki je prikazano na sliki 1. Na zavihku Dodatno se pomaknite navzdol v podoknu Nastavitve. Tam lahko omogočite ali onemogočite protokole TLS.

Okno »Internetne možnosti«

Slika 5: Pogovorno okno »Internetne lastnosti«

Urejevalnik pravilnik skupine strani

Če želite odpreti pravilnik skupine, v iskalno polje v opravilni vrstici vnesite gpedit.msc. Prikaže se okno, podobno oknu, ki je prikazano na sliki 6. 

Okno urejevalnika pravilnika skupine

Slika 6: pravilnik skupine urejevalnika

  1. Pomaknite se do razdelka Lokalni pravilnik računalnika > (konfiguracija računalnika ali uporabniška konfiguracija) > Skrbniški templji > Komponente sistema Windows > Internet Explorer > Internet nadzorna plošča > Advanced Page > Izklop podpore za šifriranje. Glejte sliko 7.

  2. Dvokliknite Izklopi podporo za šifriranje.

    Pot do izklopa podpore za šifriranje v GPedit.msc

    Slika 7: Pot za izklop podpore za šifriranje v pravilnik skupine Urejevalniku

  3. Izberite možnost Omogočeno. Nato na spustnem seznamu izberite različico TLS, ki jo želite omogočiti, kot je prikazano na sliki 8.

    Izklop podpore za šifriranje je omogočen s spustnim seznamom, ki prikazuje različne možnosti

    Slika 8: Omogočanje možnosti »Izklopi podporo za šifriranje« in spustni seznam

Ko omogočite pravilnik v urejevalniku pravilnik skupine, ga ne morete spremeniti v internetnih možnostih. Če na primer izberete Uporabi SSL3.0 in TLS 1.0, vse druge možnosti v internetnih možnostih ne bodo na voljo. Glejte sliko 9. Če v urejevalniku internetnih možnosti omogočite možnost Izklopi podporo za šifriranje, ne morete spremeniti nobene pravilnik skupine internetnih možnosti.

Internetne možnosti s zatemnjeno nastavitvama SSL in TLS

Slika 9: Internetne možnosti, ki prikazujejo nastavitve SSL in TLS, ki niso na voljo

Omogočite TLS različice 1.1 in novejšo (winhttp nastavitve )

Glejte Posodobitev, če želite omogočiti TLS 1.1 in TLS 1.2 kot privzete varne protokole v sistemu WinHTTP v sistemu Windows.

Pomembne poti registra (nastavitve wininet in Internet Explorer)

  • Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings

    • Tukaj najdete secureProtocols, ki shranjuje vrednost trenutno omogočenih protokolov, če uporabljate urejevalnik pravilnik skupine protokolov.

  • Computer\HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings

    • Tukaj najdete secureProtocols, ki shranjuje vrednost trenutno omogočenih protokolov, če uporabljate internetne možnosti.

  • pravilnik skupine SecureProtocols imajo prednost pred elementom, ki ga nastavljajo internetne možnosti.

Pomembne poti registra (winhttp)

  • ForceDefaultSecureProtocols  

    • HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Internet Settings 

    • Privzeta vrednost je FALSE. Če nastavite neničelno vrednost, aplikacijam preprečite nastavitev protokolov po meri z možnostjo winhttp.

Ali potrebujete dodatno pomoč?

Razširite svoja znanja

Oglejte si izobraževanje >

Prvi dobite nove funkcije

Pridruži se Microsoftu programa Insider >

Vam je bila informacija v pomoč?

Kako ste zadovoljni s kakovostjo jezika?
Kaj je vplivalo na vašo izkušnjo?

Zahvaljujemo se vam za povratne informacije.

×