KB5017811—จัดการ Transport Layer Security (TLS) 1.0 และ 1.1 หลังจากการเปลี่ยนแปลงลักษณะการทํางานเริ่มต้นในวันที่ 20 กันยายน 2022

บทสรุป

Transport Layer Security (TLS) 1.0 และ 1.1 เป็นโพรโทคอลความปลอดภัยสําหรับการสร้างช่องทางการเข้ารหัสผ่านเครือข่ายคอมพิวเตอร์ Microsoftสนับสนุนการสนับสนุนตั้งแต่ Windows XP และ Windows Server 2003 อย่างไรก็ตาม ข้อกําหนดด้านกฎข้อบังคับมีการเปลี่ยนแปลง นอกจากนี้ยังมีจุดอ่อนด้านความปลอดภัยใหม่ใน TLS 1.0 ดังนั้น Microsoft ขอแนะนําให้คุณลบการขึ้นต่อกันของ TLS 1.0 และ 1.1 นอกจากนี้ เราขอแนะนําให้คุณปิดใช้งาน TLS 1.0 และ 1.1 ที่ระดับระบบปฏิบัติการที่เป็นไปได้ สําหรับรายละเอียดเพิ่มเติม โปรดดู การปิดใช้งาน TLS 1.0 และ 1.1 ในการอัปเดตตัวอย่างวันที่ 20 กันยายน 2022 เราจะปิดใช้งาน TLS 1.0 และ 1.1 ตามค่าเริ่มต้นสําหรับแอปพลิเคชันที่ใช้ winhttp และ wininet นี่เป็นส่วนหนึ่งของความพยายามอย่างต่อเนื่อง บทความนี้จะช่วยให้คุณเปิดใช้งานได้อีกครั้ง การเปลี่ยนแปลงเหล่านี้จะปรากฏหลังจากติดตั้งการอัปเดต Windows ที่เผยแพร่ในวันที่ 20 กันยายน 2022 หรือหลังจากนั้น

ลักษณะการทํางานเมื่อเข้าถึงลิงก์ TLS 1.0 และ 1.1 ในเบราว์เซอร์

หลังจากวันที่ 20 กันยายน 2022 ข้อความจะปรากฏขึ้นเมื่อเบราว์เซอร์ของคุณเปิดเว็บไซต์ที่ใช้ TLS 1.0 หรือ 1.1 ดูรูปที่ 1 ข้อความแจ้งว่าไซต์ใช้โพรโทคอล TLS ที่ล้าสมัยหรือไม่ปลอดภัย เมื่อต้องการแก้ไขปัญหานี้ คุณสามารถอัปเดตโพรโทคอล TLS เป็น TLS 1.2 หรือสูงกว่า หากไม่สามารถทําได้ คุณสามารถเปิดใช้งาน TLS ตามที่อธิบายไว้ใน การเปิดใช้งาน TLS เวอร์ชัน 1.1 และต่ํากว่า

หน้าต่าง Internet Explorer เมื่อเข้าถึงลิงก์ TLS 1.0 และ 1.1

รูปที่ 1: หน้าต่างเบราว์เซอร์เมื่อเข้าถึงเว็บเพจ TLS 1.0 และ 1.1

ลักษณะการทํางานเมื่อเข้าถึงลิงก์ TLS 1.0 และ 1.1 ในแอปพลิเคชัน winhttp

หลังจากการอัปเดต แอปพลิเคชันที่ใช้ winhttp อาจล้มเหลว ข้อความแสดงข้อผิดพลาดคือ "ERROR_WINHTTP_SECURE_FAILUREขณะดําเนินการ WinHttpSendRequest"

ลักษณะการทํางานเมื่อเข้าถึงลิงก์ TLS 1.0 และ 1.1 ในแอปพลิเคชัน UI แบบกําหนดเองตาม winhttp หรือ wininet

เมื่อแอปพลิเคชันพยายามสร้างการเชื่อมต่อโดยใช้ TLS 1.1 และต่ํากว่า การเชื่อมต่ออาจล้มเหลว เมื่อคุณปิดแอปพลิเคชันหรือหยุดทํางาน กล่องโต้ตอบ ตัวช่วยแก้ปัญหาความเข้ากันได้ของโปรแกรม (PCA) จะปรากฏขึ้นตามที่แสดงในรูปที่ 2

ป็อปอัพตัวช่วยแก้ปัญหาความเข้ากันได้ของโปรแกรมหลังจากปิดแอปพลิเคชัน

รูปที่ 2: กล่องโต้ตอบ 'ตัวช่วยแก้ปัญหาความเข้ากันได้ของโปรแกรม'

กล่องโต้ตอบ PCA ระบุว่า "โปรแกรมนี้อาจทํางานไม่ถูกต้อง" ภายใต้นั้น มีสองตัวเลือก:

เรียกใช้โปรแกรมโดยใช้การตั้งค่าความเข้ากันได้
โปรแกรมนี้ทํางานอย่างถูกต้อง

เรียกใช้โปรแกรมโดยใช้การตั้งค่าความเข้ากันได้

เมื่อคุณเลือกตัวเลือกนี้ แอปพลิเคชันจะเปิดอีกครั้ง ตอนนี้ลิงก์ทั้งหมดที่ใช้ TLS 1.0 และ 1.1 ทํางานอย่างถูกต้อง จากนั้น จะไม่มีกล่องโต้ตอบ PCA ปรากฏขึ้น Registry Editor จะเพิ่มรายการไปยังเส้นทางต่อไปนี้:

Computer\HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Store
Computer\HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Layers

ถ้าคุณเลือกตัวเลือกนี้โดยไม่ได้ตั้งใจ หากคุณลบออก คุณจะเห็นกล่องโต้ตอบ PCA ในครั้งถัดไปที่คุณเปิดแอป

รายการโปรแกรมที่ควรใช้งานโดยใช้การตั้งค่าความเข้ากันได้

รูปที่ 3: รายการของโปรแกรมที่ควรเรียกใช้งานโดยใช้การตั้งค่าความเข้ากันได้

โปรแกรมนี้ทํางานอย่างถูกต้อง

เมื่อคุณเลือกตัวเลือกนี้ แอปพลิเคชันจะปิดตามปกติ ในครั้งถัดไปที่คุณเปิดแอปพลิเคชันอีกครั้ง กล่องโต้ตอบ PCA จะไม่ปรากฏขึ้น ระบบจะบล็อกเนื้อหา TLS 1.0 และ 1.1 ทั้งหมด Registry Editor จะเพิ่มรายการต่อไปนี้ลงในเส้นทาง Computer\HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Store ดูรูปที่ 4 ถ้าคุณเลือกตัวเลือกนี้โดยไม่ได้ตั้งใจ หากคุณลบรายการ คุณจะเห็นกล่องโต้ตอบ PCA ในครั้งถัดไปที่คุณเปิดแอป

รายการในตัวแก้ไขรีจิสทรีที่ระบุว่าแอปทํางานอย่างถูกต้อง

รูปที่ 4: รายการในตัวแก้ไขรีจิสทรีที่ระบุว่าแอปทํางานอย่างถูกต้อง

สำคัญ โพรโทคอล TLS แบบดั้งเดิมจะเปิดใช้งานสําหรับแอปพลิเคชันเฉพาะเท่านั้น สิ่งนี้เป็นจริงแม้ว่าจะถูกปิดใช้งานในการตั้งค่าทั้งระบบ

เปิดใช้งาน TLS เวอร์ชัน 1.1 และต่ํากว่า (wininet และการตั้งค่า Internet Explorer)

เราไม่แนะนําให้เปิดใช้งาน TLS 1.1 และต่ํากว่าเนื่องจากไม่ถือว่าปลอดภัยอีกต่อไป พวกเขามีความเสี่ยงต่อการโจมตีต่าง ๆ เช่นการโจมตี POODLE ดังนั้น ก่อนที่จะเปิดใช้งาน TLS 1.1 ให้เลือกทําอย่างใดอย่างหนึ่งต่อไปนี้:

ตรวจสอบว่ามีแอปพลิเคชันเวอร์ชันที่ใหม่กว่าพร้อมใช้งานหรือไม่
ขอให้นักพัฒนาแอปทําการเปลี่ยนแปลงการกําหนดค่าในแอปเพื่อลบการขึ้นต่อกันของ TLS 1.1 และต่ํากว่า

ในกรณีที่โซลูชันไม่ได้ผล มีสองวิธีในการเปิดใช้งานโพรโทคอล TLS แบบดั้งเดิมในการตั้งค่าทั้งระบบ:

ตัวเลือกอินเทอร์เน็ต
ตัวแก้ไขนโยบายกลุ่ม

ตัวเลือกอินเทอร์เน็ต

เมื่อต้องการเปิด ตัวเลือกอินเทอร์เน็ต ให้พิมพ์ ตัวเลือกอินเทอร์เน็ต ในกล่องค้นหาบนแถบงาน คุณยังสามารถเลือก เปลี่ยนการตั้งค่า จากกล่องโต้ตอบที่แสดงในรูปที่ 1 ได้ด้วย บนแท็บ ขั้นสูง ให้เลื่อนลงในแผงการตั้งค่า คุณสามารถเปิดหรือปิดใช้งานโพรโทคอล TLS ได้ที่นี่

หน้าต่างตัวเลือกอินเทอร์เน็ต

รูปที่ 5: กล่องโต้ตอบคุณสมบัติอินเทอร์เน็ต

ตัวแก้ไขนโยบายกลุ่ม

เมื่อต้องการเปิด นโยบายกลุ่ม Editor ให้พิมพ์ gpedit.msc ในกล่องค้นหาของแถบงาน หน้าต่างเหมือนกับที่แสดงในรูปที่ 6 จะปรากฏขึ้น

หน้าต่างตัวแก้ไขนโยบายกลุ่ม

รูปที่ 6: นโยบายกลุ่มหน้าต่างตัวแก้ไข

นําทางไปยัง>นโยบายคอมพิวเตอร์เฉพาะที่ (การกําหนดค่าคอมพิวเตอร์หรือการกําหนดค่าผู้ใช้) > วัดระดับการดูแลระบบ > คอมโพเนนต์ของ Windows > Internet Explorer > Internet แผงควบคุม Internet >เพจขั้นสูง > ปิดการสนับสนุนการเข้ารหัสลับ ดูรูปที่ 7
ดับเบิลคลิก ปิดการสนับสนุนการเข้ารหัสลับ

รูปที่ 7: เส้นทางเพื่อปิดการสนับสนุนการเข้ารหัสลับในตัวแก้ไขนโยบายกลุ่ม
เลือกตัวเลือก เปิดใช้งาน จากนั้นใช้รายการดรอปดาวน์เพื่อเลือกเวอร์ชัน TLS ที่คุณต้องการเปิดใช้งานตามที่แสดงในรูปที่ 8

รูปที่ 8: เปิดใช้งานรายการดรอปดาวน์และการสนับสนุนการเข้ารหัสลับ

เมื่อคุณเปิดใช้งานนโยบายในตัวแก้ไขนโยบายกลุ่ม คุณไม่สามารถเปลี่ยนแปลงในตัวเลือกอินเทอร์เน็ต ตัวอย่างเช่น ถ้าคุณเลือก ใช้ SSL3.0 และ TLS 1.0 ตัวเลือกอื่นๆ ทั้งหมดจะไม่สามารถใช้งานได้ใน ตัวเลือกอินเทอร์เน็ต ดูรูปที่ 9 คุณไม่สามารถเปลี่ยนแปลงการตั้งค่าใดๆ ในตัวเลือกอินเทอร์เน็ตได้ถ้าคุณเปิดใช้งาน ปิดการสนับสนุนการเข้ารหัสลับ ในตัวแก้ไขนโยบายกลุ่ม

ตัวเลือกอินเทอร์เน็ตที่มีการตั้งค่า SSL และ TLS เป็นสีเทา

รูปที่ 9: ตัวเลือกอินเทอร์เน็ตที่แสดงการตั้งค่า SSL และ TLS ที่ไม่พร้อมใช้งาน

เปิดใช้งาน TLS เวอร์ชัน 1.1 และต่ํากว่า (การตั้งค่า winhttp)

ดู อัปเดต เพื่อเปิดใช้งาน TLS 1.1 และ TLS 1.2 เป็นโพรโทคอลความปลอดภัยเริ่มต้นใน WinHTTP ใน Windows

เส้นทางรีจิสทรีที่สําคัญ (wininet และการตั้งค่า Internet Explorer)

Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings
- คุณสามารถค้นหา SecureProtocols ซึ่งเก็บค่าของโพรโทคอลที่เปิดใช้งานในปัจจุบันได้ที่นี่ ถ้าคุณใช้ตัวแก้ไขนโยบายกลุ่ม
Computer\HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings
- ที่นี่คุณสามารถค้นหา SecureProtocols ซึ่งเก็บค่าของโพรโทคอลที่เปิดใช้งานในปัจจุบันถ้าคุณใช้ตัวเลือกอินเทอร์เน็ต
นโยบายกลุ่ม SecureProtocols จะมีความสําคัญเหนือกว่าชุดเดียวที่ตั้งค่าโดย ตัวเลือกอินเทอร์เน็ต

การเปิดใช้งานการย้อนกลับ TLS ที่ไม่ปลอดภัย

การปรับเปลี่ยนข้างต้นจะเปิดใช้งาน TLS 1.0 และ TLS 1.1 อย่างไรก็ตาม พวกเขาจะไม่สามารถเปิดใช้งานการย้อนกลับ TLS ได้ เมื่อต้องการเปิดใช้งานการย้อนกลับ TLS คุณต้องตั้งค่า EnableInsecureTlsFallback เป็น 1 ในรีจิสทรีภายใต้เส้นทางด้านล่าง

เมื่อต้องการเปลี่ยนการตั้งค่า: SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\winhttp
เมื่อต้องการตั้งค่านโยบาย: SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings

ถ้า EnableInsecureTlsFallback ไม่ปรากฏ คุณต้องสร้างรายการ DWORD ใหม่และตั้งค่าเป็น 1

เส้นทางรีจิสทรีที่สําคัญ

ForceDefaultSecureProtocols
- HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\winhttp
- เป็น FALSE ตามค่าเริ่มต้น การตั้งค่าที่ไม่ใช่ศูนย์จะหยุดแอปพลิเคชันจากการตั้งค่าโพรโทคอลแบบกําหนดเองโดยใช้ตัวเลือก winhttp
EnableInsecureTlsFallback
- เมื่อต้องการเปลี่ยนการตั้งค่า: SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\winhttp
- เมื่อต้องการตั้งค่านโยบาย: SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings
- เป็น FALSE ตามค่าเริ่มต้น การตั้งค่าที่ไม่ใช่ศูนย์จะทําให้แอปพลิเคชันย้อนกลับเป็นโพรโทคอลที่ไม่ปลอดภัย (TLS1.0 และ 1.1) หากแฮนด์เชคล้มเหลวด้วยโปรโตคอลที่ปลอดภัย (tls1.2 และสูงกว่า)