تستند جميع أسبابنا إلى حقيقة أنك تستخدم نظام التشغيل Windows XP أو إصدارًا أحدث (Vista أو 7 أو 8) ، والذي تم تثبيت جميع التحديثات والتصحيحات المناسبة عليه. الآن شرط آخر: نحن نتحدث عن أحدث إصدارات المتصفحات اليوم ، وليس "Ognelis كروية في فراغ".
لذلك ، نقوم بتهيئة المتصفحات لاستخدام الإصدارات الحالية من بروتوكول TLS وعدم استخدام الإصدارات القديمة و SSL على الإطلاق. على أي حال ، بقدر ما هو ممكن من الناحية النظرية.
وتخبرنا النظرية أنه بالرغم من ذلك متصفح الانترنتمنذ الإصدار 8 وهو يدعم TLS 1.1 و 1.2 ، ولن نجبره على القيام بذلك في نظامي التشغيل Windows XP و Vista. انقر فوق: أدوات / خيارات الإنترنت / خيارات متقدمة وفي قسم "الأمان" نجد: SSL 2.0 ، SSL 3.0 ، TLS 1.0 ... هل وجدت شيئًا آخر؟ تهانينا ، سيكون لديك TLS 1.1 / 1.2! لم يتم العثور عليه - لديك Windows XP أو Vista ، وفي Redmond تعتبر متخلفًا.
لذلك ، قمنا بإزالة علامات الاختيار من جميع SSLs ، ووضعناها على جميع TLS المتاحة. إذا كان TLS 1.0 متاحًا فقط ، فليكن ، إذا كان هناك المزيد من الإصدارات الحديثة ، فمن الأفضل تحديدها فقط ، وإلغاء تحديد TLS 1.0 (ولا تفاجأ لاحقًا بأن بعض المواقع لا تفتح عبر HTTPS) . ثم انقر فوق "تطبيق" ، "موافق".
مع Opera ، الأمر أسهل - إنه يرتب لنا مأدبة حقيقية إصدارات مختلفةالبروتوكولات: أدوات / إعدادات عامة / متقدم / أمان / بروتوكولات الأمان. ماذا نرى؟ المجموعة الكاملة ، التي نترك منها مربعات الاختيار فقط لـ TLS 1.1 و TLS 1.2 ، وبعد ذلك نضغط على زر "التفاصيل" وهناك نقوم بإلغاء تحديد جميع الأسطر باستثناء تلك التي تبدأ بـ "256 بت AES" - فهي في الأساس نهاية. يوجد في بداية القائمة سطر "256 بت AES ( مجهول DH / SHA-256) ، قم بإلغاء تحديده أيضًا. انقر فوق "موافق" واستمتع بالأمان.
ومع ذلك ، لدى Opera خاصية غريبة واحدة: إذا تم تمكين TLS 1.0 ، فعندئذ إذا كان من الضروري إنشاء اتصال آمن ، فإنه يستخدم على الفور هذا الإصدار المعين من البروتوكول ، بغض النظر عما إذا كان الموقع يدعم الإصدارات الأحدث. مثل ، لماذا الإجهاد - وكل شيء على ما يرام ، كل شيء محمي. عند تمكين TLS 1.1 و 1.2 فقط ، سيحاول أولاً استخدام إصدار أكثر تقدمًا ، وفقط إذا لم يكن مدعومًا من قبل الموقع ، فسيقوم المتصفح بالتبديل إلى الإصدار 1.1.
لكن Ognelis Firefox الكروي لن يسعدنا على الإطلاق: الأدوات / الإعدادات / متقدم / التشفير: كل ما يمكننا فعله هو إيقاف SSL ، TLS متاح فقط في الإصدار 1.0 ، لا يوجد شيء نفعله - نتركه مع علامة.
ومع ذلك ، يتم التعرف على السيئ بالمقارنة: لا يحتوي Chrome و Safari على أي إعدادات على الإطلاق ، والتي تستخدم بروتوكول التشفير. على حد علمنا ، لا يدعم Safari إصدارات TLS الأحدث من 1.0 في الإصدارات التي تعمل بنظام Windows ، وبما أنه تم إيقاف إصدار الإصدارات الجديدة لنظام التشغيل هذا ، فلن يتم ذلك.
Chrome ، على حد علمنا ، يدعم TLS 1.1 ، ولكن ، كما في حالة Safari ، لا يمكننا رفض استخدام SSL. كما أن تعطيل TLS 1.0 في Chrome ليس بأي حال من الأحوال. ولكن مع الاستخدام الحقيقي لـ TLS 1.1 - سؤال كبير: تم تشغيله أولاً ، ثم إيقاف تشغيله بسبب مشاكل في التشغيل ، وبقدر ما يمكن للمرء أن يقول ، لم يتم تشغيله مرة أخرى. أي ، يبدو أن الدعم موجود ، ولكن تم إيقافه ، كما كان ، ولا توجد طريقة لإعادة تشغيله للمستخدم نفسه. نفس القصة مع Firefox - دعم TLS 1.1 فيه ، في الواقع ، لكنه غير متاح للمستخدم بعد.
ملخص من متعدد الحروف أعلاه. ما هو خطر استخدام إصدارات قديمة من بروتوكولات التشفير؟ حقيقة أن شخصًا آخر سوف يدخل إلى اتصالك الآمن بالموقع ويتمكن من الوصول إلى جميع المعلومات "هناك" و "هناك". من الناحية العملية ، سوف الوصول الكاملفي الصندوق بريد إلكتروني، حساب في نظام بنك العميل ، إلخ.
من غير المحتمل أنه سيكون من الممكن الدخول بطريق الخطأ إلى اتصال آمن لشخص آخر ، فنحن نتحدث فقط عن الإجراءات الضارة. إذا كان احتمال حدوث مثل هذه الإجراءات منخفضًا ، أو إذا كانت المعلومات المرسلة عبر اتصال آمن ليست ذات قيمة معينة ، فلا يمكنك عناء استخدام المتصفحات التي تدعم TLS 1.0 فقط واستخدامها.
بخلاف ذلك ، لا يوجد خيار: Opera فقط و TLS 1.2 فقط (TLS 1.1 هو مجرد تحسين لـ TLS 1.0 ، ويرث جزئيًا مشاكل الأمان الخاصة به). ومع ذلك ، قد لا تدعم مواقعنا المفضلة TLS 1.2 :(
يظهر رمز الخطأ هذا عادةً على الشاشة عندما تذهب إلى خدمة أو موقع ويب حكومي. وخير مثال على ذلك هو البوابة الرسمية لنظام المعلومات البيئية. من المحتمل أن تكون الإعدادات القديمة أو غير الآمنة هي سبب الفشل. بروتوكول TSL. هذه مشكلة شائعة جدا. يواجهها المستخدمون لفترة طويلة من الزمن. الآن دعنا نتعرف على سبب هذا الخطأ بالضبط وكيفية إصلاحه.
يتم ضمان أمان الاتصال بالموقع باستخدام بروتوكولات تشفير خاصة - SSL و TSL. أنها توفر الحماية لنقل المعلومات. البروتوكولات مبنية على استخدام أدوات التشفير المتماثل وغير المتماثل. كما يتم استخدام رموز مصادقة الرسائل وخيارات أخرى. تتيح لك هذه الإجراءات معًا الاحتفاظ بالاتصال مجهول الهوية ، لذلك تُحرم الأطراف الثالثة من فرصة فك تشفير الجلسة.
عندما يظهر خطأ في المتصفح يعلن عن مشاكل في بروتوكول TSL ، فهذا يعني أن موقع الويب يستخدم معلمات غير صحيحة. لذلك ، الاتصال غير آمن بالفعل. يتم حظر الوصول إلى البوابة تلقائيًا.
في أغلب الأحيان ، يواجه المستخدمون الذين يعملون من خلال متصفح Internet Explorer خطأً. هناك عدة أسباب لهذا الفشل ، وهي:
- يقوم برنامج مكافحة الفيروسات بحظر الاتصال بالموقع ؛
- إصدار الأداة المساعدة CryptoPro قديم ؛
- يتم الاتصال بالبوابة عبر VPN ؛
- إعدادات مستعرض Internet Explorer غير صحيحة ؛
- يتم تنشيط وظيفة "SecureBoot" في BIOS ؛
- هناك ملفات مصابة ، فيروسات على جهاز الكمبيوتر.
اكتشفنا أسباب الخطأ. حان الوقت للتحليل الطرق الممكنةحل المشاكل.
تعليمات استكشاف الأخطاء وإصلاحها
إذا لم يختف الخطأ ، فقد حان الوقت لتجربة طرق بديلة:
تبين الممارسة أن كل من النصائح المدرجة يمكن أن تحل المشكلة. لذلك فقط اتبع التعليمات.
خاتمة
يؤكد الخبراء أن فشل البرنامجيظهر بسبب برنامج مكافحة الفيروسات المثبت على جهاز كمبيوتر المستخدم. لسبب ما ، يمنع البرنامج الوصول إلى الموقع. لذلك ، قم أولاً بتعطيل برنامج مكافحة الفيروسات ، وقم بتغيير إعدادات التحقق من الشهادة. من المحتمل أن هذا سيحل المشكلة. إذا لم يختف الخطأ ، فجرب كل من النصائح المذكورة أعلاه. نتيجة لذلك ، سيتم حل مشكلة أمان بروتوكول TSL تمامًا.
في أكتوبر ، نشر مهندسو Google معلومات حول ثغرة خطيرة في الإصدار 3.0 من SSLباسم مضحك بركة(حشو Oracle على التشفير القديم أو Poodle). تسمح الثغرة الأمنية للمهاجم بالوصول إلى المعلومات المشفرة باستخدام بروتوكول SSLv3 باستخدام هجوم "رجل في الوسط". تؤثر الثغرات الأمنية على كل من الخوادم والعملاء الذين يمكنهم الاتصال باستخدام بروتوكول SSLv3.
بشكل عام ، فإن الوضع ليس مفاجئًا ، لأن. بروتوكول SSL 3.0، الذي تم تقديمه لأول مرة في عام 1996 ، يبلغ من العمر 18 عامًا وقد عفا عليه الزمن أخلاقياً. في معظم المهام العملية ، تم بالفعل استبداله ببروتوكول تشفير TLS(الإصدارات 1.0 و 1.1 و 1.2).
للحماية من ثغرة POODLE ، فمن المستحسن تماما تعطيل دعم SSLv3 على كل من العميل والخادمثم استخدم TLS فقط. بالنسبة لمستخدمي البرامج القديمة (على سبيل المثال ، أولئك الذين يستخدمون IIS 6 على نظام التشغيل Windows XP) ، فهذا يعني أنهم لن يكونوا قادرين على عرض صفحات HTTPS واستخدام خدمات SSL الأخرى. في حالة عدم تعطيل دعم SSLv3 تمامًا ، ويتم تقديم تشفير أقوى افتراضيًا ، ستستمر ثغرة POODLE في الحدوث. هذا بسبب خصوصيات الاختيار والتفاوض بشأن بروتوكول التشفير بين العميل والخادم ، لأن عند اكتشاف مشاكل في استخدام TLS ، هناك انتقال تلقائي إلى SSL.
نوصي بالتحقق من جميع خدماتك التي يمكنها استخدام SSL / TLS بأي شكل وتعطيل دعم SSLv3. يمكنك التحقق من خادم الويب الخاص بك بحثًا عن نقاط الضعف باستخدام اختبار عبر الإنترنت ، على سبيل المثال ، هنا: http://poodlebleed.com/.
ملحوظة. يجب أن يكون مفهوما بوضوح أن تعطيل SSL v3 على مستوى النظام سيعمل فقط مع البرامج التي تستخدم واجهات برمجة تطبيقات النظام لتشفير SSL (Internet Explorer ، IIS ، SQL NLA ، RRAS ، إلخ). يجب تحديث البرامج التي تستخدم أدوات التشفير الخاصة بها (Firefox و Opera وما إلى ذلك) وتهيئتها بشكل فردي.
تعطيل SSLv3 في Windows على مستوى النظام
نظام التشغيل التحكم في النوافذيتم توفير الدعم لبروتوكولات SSL / TLS من خلال التسجيل.
في هذا المثال ، سوف نوضح كيفية تعطيل SSLv3 تمامًا على مستوى النظام (كل من مستوى العميل والخادم) في مشغل برامج وندوز 2012R2:
تعطيل SSLv2 (Windows 2008 / Server والإصدارات الأقدم)
في أنظمة التشغيل السابقة لـ Windows 7 / Windows Server 2008 R2 ، يتم استخدام بروتوكول أقل أمانًا وقديمًا بشكل افتراضي SSLv2، والذي يجب أيضًا تعطيله لأسباب أمنية (في الإصدار الأحدث إصدارات Windows، يتم تعطيل SSLv2 على مستوى العميل افتراضيًا ويتم استخدام SSLv3 و TLS1.0 فقط). لتعطيل SSLv2 ، تحتاج إلى تكرار الإجراء أعلاه ، فقط لمفتاح التسجيل SSL 2.0.
في Windows 2008/2012 ، يتم تعطيل SSLv2 على مستوى العميل بشكل افتراضي.
قم بتمكين TLS 1.1 و TLS 1.2 على Windows Server 2008 R2 والإصدارات الأحدث
يدعم Windows Server 2008 R2 / Windows 7 والإصدارات الأحدث خوارزميات تشفير TLS 1.1 و TLS 1.2 ، ولكن يتم تعطيل هذه البروتوكولات افتراضيًا. يمكنك تمكين دعم TLS 1.1 و TLS 1.2 في هذه الإصدارات من Windows باستخدام سيناريو مشابه
أداة لإدارة بروتوكولات تشفير النظام في Windows Server
موجود فائدة مجانيةتشفير IIS ، الذي يسمح لك بإدارة معلمات بروتوكولات التشفير بشكل ملائم في Windows Server 2003 و 2008 و 2012. باستخدام هذه الأداة المساعدة ، يمكنك تمكين أو تعطيل أي من بروتوكولات التشفير بنقرتين فقط.
يحتوي البرنامج بالفعل على العديد من القوالب التي تتيح لك تطبيق الإعدادات المسبقة بسرعة على خيارات مختلفةاعدادات الامان.
إذا كنت تواجه مشكلة حيث فشل الوصول إلى موقع معين وظهرت رسالة في متصفحك ، فهناك تفسير معقول لذلك. يتم إعطاء أسباب وحلول المشكلة في هذه المقالة.
SSL TLS
بروتوكول SSL TLS
مستخدمو مؤسسات الميزانية ، وليس فقط المؤسسات المالية ، الذين ترتبط أنشطتهم مباشرة بالتمويل ، بالتعاون مع المؤسسات المالية ، على سبيل المثال ، وزارة المالية والخزانة وما إلى ذلك ، ينفذون جميع عملياتهم حصريًا باستخدام بروتوكول SSL الآمن . في الأساس ، يستخدمون متصفح Internet Explorer في عملهم. في بعض الحالات ، Mozilla Firefox.
خطأ SSL
الاهتمام الرئيسي عند تنفيذ هذه العمليات والعمل بشكل عام هو نظام الحماية: الشهادات ، التوقيعات الإلكترونية. تستخدم للعمل برمجةالإصدار الحالي من CryptoPro. بخصوص المشكلات المتعلقة ببروتوكولات SSL و TLS، لو خطأ SSLظهر ، على الأرجح لا يوجد دعم لهذا البروتوكول.
خطأ TLS
خطأ TLSفي كثير من الحالات يمكن أن يشير أيضًا إلى عدم وجود دعم للبروتوكول. لكن ... دعنا نرى ما يمكن عمله في هذه الحالة.
دعم بروتوكولات SSL و TLS
لذلك ، عند استخدام Microsoft Internet Explorer لزيارة موقع ويب عبر SSL ، يظهر شريط العنوان تأكد من أن بروتوكولات SSLو tls مفعلة. بادئ ذي بدء ، تحتاج إلى تمكين دعم بروتوكول TLS 1.0 في Internet Explorer.
إذا كنت تزور موقع ويب يقوم بتشغيل Internet Information Services 4.0 أو أحدث ، فإن تكوين Internet Explorer لدعم TLS 1.0 يساعد في تأمين اتصالك. بالطبع ، بشرط أن يدعم خادم الويب البعيد الذي تحاول استخدامه هذا البروتوكول.
للقيام بذلك ، القائمة خدمةاختر فريقًا خيارات الإنترنت.
في علامة التبويب بالإضافة إلى ذلكفي الفصل أمان، تأكد من تحديد مربعات الاختيار التالية:
استخدم SSL 2.0
استخدم SSL 3.0
استخدم TLS 1.0
انقر فوق الزر يتقدم ، وثم نعم . أعد تشغيل المتصفح .
 |
بعد تمكين TLS 1.0 ، حاول زيارة الموقع مرة أخرى.
نهج أمان النظام
إذا كان لا يزال هناك أخطاء في SSL و TLSإذا كنت لا تزال غير قادر على استخدام SSL ، فمن المحتمل أن خادم الويب البعيد لا يدعم TLS 1.0. في هذه الحالة ، يجب عليك تعطيل نهج النظام الذي يتطلب خوارزميات متوافقة مع FIPS.
للقيام بذلك ، في لوحات تحكميختار إدارة، ثم انقر نقرًا مزدوجًا فوق سياسة الأمن المحلية.
في إعدادات الأمان المحلية ، قم بتوسيع العقدة السياسات المحلية، ثم انقر فوق الزر خيارات الأمان.
وفقًا للسياسة الموجودة على الجانب الأيمن من النافذة ، انقر نقرًا مزدوجًا تشفير النظام: استخدم خوارزميات متوافقة مع FIPS للتشفير والتجزئة والتوقيع، ثم انقر فوق الزر عاجز.
انتباه! يسري التغيير بعد إعادة تطبيق نهج الأمان المحلي. إنه قم بتشغيلهو أعد تشغيل المتصفح .
CryptoPro TLS SSL
قم بتحديث CryptoPro
تكوين SSL TLS
تكوين شبكة
يمكن أن يكون خيار آخر تعطيل NetBIOS عبر TCP / IP- تقع في خصائص الاتصال.
تسجيل ملف DLL
يجري سطر الأوامركمسؤول وأدخل الأمر regsvr32 cpcng. بالنسبة إلى نظام تشغيل 64 بت ، يجب عليك استخدام regsvr32 الموجود في syswow64.
عند الانتقال إلى أي دولة أو بوابة خدمة (على سبيل المثال ، "EIS") ، قد يواجه المستخدم فجأة الخطأ "لا يمكن الاتصال بهذه الصفحة بشكل آمن. ربما يستخدم الموقع إعدادات أمان TLS قديمة أو ضعيفة. " هذه المشكلةله طابع مشترك إلى حد ما ، وقد تم إصلاحه لعدة سنوات بين فئات مختلفة من المستخدمين. لنلقِ نظرة على جوهر هذا الخطأ وخيارات حله.
كما تعلم ، فإن أمان توصيل المستخدمين بـ موارد الشبكةيتم توفيره من خلال استخدام SSL / TSL - بروتوكولات التشفير المسؤولة عن نقل البيانات الآمن على الإنترنت. يستخدمون التشفير المتماثل وغير المتماثل ورموز مصادقة الرسائل والميزات الخاصة الأخرى للحفاظ على خصوصية اتصالك عن طريق منع الأطراف الثالثة من فك تشفير جلستك.
إذا قرر المستعرض ، عند الاتصال بموقع ما ، أن المورد يستخدم معلمات بروتوكول أمان SSL / TSL غير صحيحة ، ثم يتلقى المستخدم الرسالة أعلاه ، وقد يتم حظر الوصول إلى الموقع.
في كثير من الأحيان ، يحدث الموقف مع بروتوكول TLS على متصفح IE ، وهو أداة شائعة للعمل مع البوابات الحكومية الخاصة المرتبطة بأشكال الإبلاغ المختلفة. يتطلب العمل مع هذه البوابات وجودًا إلزاميًا لمتصفح Internet Explorer ، وتحدث المشكلة المعنية في أغلب الأحيان.
يمكن أن تكون أسباب الخطأ "ربما يستخدم الموقع إعدادات أمان قديمة أو غير موثوق بها لبروتوكول TLS" كما يلي:
كيفية إصلاح الخلل: يتم استخدام إعدادات أمان TLS غير موثوق بها
يمكن أن يكون حل المشكلة التي نشأت بالطرق الموضحة أدناه. ولكن قبل وصفها ، أوصي بإعادة تشغيل جهاز الكمبيوتر الخاص بك بكل بساطة هذه الطريقةغالبًا ما يثبت فعاليته.
إذا لم يساعد ، فقم بما يلي:
- قم بتعطيل برنامج مكافحة الفيروسات مؤقتًا. في حالات قليلة جدًا ، منع برنامج مكافحة الفيروسات الوصول إلى مواقع غير موثوقة (وفقًا لتقديراته). عطل مؤقتا برنامج مضاد للفيروسات، أو تعطيل فحص الشهادة في إعدادات مكافحة الفيروسات (على سبيل المثال ، "لا تفحص الاتصالات الآمنة" على برنامج مكافحة الفيروسات Kaspersky) ؛
- قم بتثبيت أحدث إصدار من برنامج CryptoPro على جهاز الكمبيوتر الخاص بك (في حالة العمل السابق مع هذا البرنامج). قد يتسبب إصدار قديم للمنتج في حدوث خطأ بعدم وجود اتصال آمن بالصفحة ؛
- تغيير إعدادات IE الخاصة بك. انتقل إلى "Internet Options" ، وحدد علامة التبويب "Security" ، ثم انقر فوق "Trusted Sites" (يجب إدخال عنوان البوابة الإلكترونية هناك بالفعل ، إذا لم يكن كذلك ، فقم بإدخالها). في الجزء السفلي ، قم بإلغاء تحديد خيار "تمكين الوضع المحمي".
ثم انقر فوق الزر "مواقع" أعلاه ، وقم بإلغاء تحديد الخيار "لجميع المواقع في هذه المنطقة ...". انقر فوق "موافق" وحاول الانتقال إلى موقع المشكلة.
- احذف ملفات تعريف الارتباط الخاصة بمتصفح IE. قم بتشغيل المتصفح ، واضغط على زر Alt لعرض القائمة. حدد علامة التبويب "أدوات" - "حذف محفوظات الاستعراض" ، حدد المربع (إذا لم يكن موجودًا) في الخيار " بسكويت... "، ثم انقر فوق" حذف "؛
- تعطيل استخدام برامج VPN (إن وجدت) ؛
- حاول استخدام متصفح مختلف للانتقال إلى المورد الإشكالي (في حالة عدم مطالبتك باستخدام أي متصفح معين) ؛
- افحص جهاز الكمبيوتر الخاص بك بحثًا عن الفيروسات (على سبيل المثال ، سيساعدك برنامج "Doctor Web Curate" الذي تم تجربته واختباره) ؛
- قم بتعطيل الخيار في BIOS الإقلاع الآمن". على الرغم من عدم وجود معايير معينة لهذه النصيحة ، فقد ساعدت أكثر من مستخدم واحد على التخلص من الخطأ "معلمات TLS القديمة أو غير الموثوقة".
قم بإلغاء تنشيط خيار "التمهيد الآمن" في BIOS
خاتمة
غالبًا ما يكون سبب الخطأ "ربما يستخدم الموقع إعدادات أمان قديمة أو غير موثوقة لبروتوكول TLS" هو برنامج مكافحة الفيروسات المحلي لجهاز الكمبيوتر ، لسبب ما يمنع الوصول إلى بوابة الإنترنت المطلوبة. إذا ظهرت مشكلة ، فمن المستحسن أن تقوم أولاً بتعطيل برنامج مكافحة الفيروسات للتأكد من أنه لا يسبب المشكلة المعنية. إذا استمر تكرار الخطأ ، فأوصيك بالانتقال إلى تنفيذ النصائح الأخرى الموضحة أدناه لحل مشكلة إعدادات أمان بروتوكول TSL غير الموثوق بها على جهاز الكمبيوتر الخاص بك.
في تواصل مع
تحميل...