Всички наши разсъждения се основават на факта, че използвате Windows XP или по-нова версия (Vista, 7 или 8), които имат инсталирани всички подходящи актуализации и корекции. Сега още едно условие: говорим за най-новите версии на браузърите днес, а не за „сферичен Ognelis във вакуум“.
И така, ние конфигурираме браузърите да използват текущите версии на протокола TLS и изобщо да не използват остарелите му версии и SSL. Във всеки случай, доколкото е възможно на теория.
И теорията ни казва, че въпреки това Internet Explorerтъй като версия 8 поддържа TLS 1.1 и 1.2, под Windows XP и Vista няма да го принуждаваме да го прави. Щракнете върху: Инструменти / Опции за интернет / Разширени и в секцията „Сигурност“ намираме: SSL 2.0, SSL 3.0, TLS 1.0 ... намерихте ли нещо друго? Поздравления, ще имате TLS 1.1/1.2! Не е намерен - имате Windows XP или Vista, а в Редмънд ви смятат за изостанал.
И така, премахваме отметките от всички SSL, поставяме ги на всички налични TLS. Ако е наличен само TLS 1.0, така да бъде, ако има по-актуални версии, по-добре е да изберете само тях и да премахнете отметката от TLS 1.0 (и да не се изненадвате по-късно, че някои сайтове не се отварят през HTTPS) . След това щракнете върху бутоните "Прилагане", "ОК".
С Opera е по-лесно - тя организира истински банкет за нас от различни версиипротоколи: Инструменти/Общи настройки/Разширени/Сигурност/Протоколи за сигурност. какво виждаме Целият комплект, от който оставяме отметките само за TLS 1.1 и TLS 1.2, след което натискаме бутона "Подробности" и там премахваме отметките на всички редове, с изключение на тези, които започват с "256 bit AES" - те са на самия край. В началото на списъка има ред "256 bit AES ( Анонимен DH/SHA-256), премахнете отметката и от него. Щракнете върху „OK“ и се насладете на сигурността.
Opera обаче има едно странно свойство: ако TLS 1.0 е активиран, тогава, ако е необходимо да се установи защитена връзка, тя незабавно използва тази конкретна версия на протокола, независимо дали сайтът поддържа по-нови. Като, защо напрежение - и всичко е наред, всичко е защитено. Когато активирате само TLS 1.1 и 1.2, той първо ще се опита да използва по-разширена версия и само ако не се поддържа от сайта, браузърът ще премине към версия 1.1.
Но сферичният Ognelis Firefox изобщо няма да ни хареса: Инструменти / Настройки / Разширени / Шифроване: всичко, което можем да направим, е да изключим SSL, TLS е наличен само във версия 1.0, няма какво да правим - оставяме го с отметка.
Лошото обаче се научава в сравнение: Chrome и Safari изобщо не съдържат настройки кой протокол за криптиране да се използва. Доколкото знаем, Safari не поддържа TLS версии, по-нови от 1.0 във версии под Windows, и тъй като пускането на нови версии за тази операционна система е преустановено, няма да го направи.
Chrome, доколкото знаем, поддържа TLS 1.1, но, както в случая на Safari, не можем да откажем да използваме SSL. Деактивирането на TLS 1.0 в Chrome също не е начин. Но с реалното използване на TLS 1.1 - голям въпрос: първо беше включен, след това изключен поради проблеми в работата и, доколкото може да се каже, все още не е включен отново. Тоест, поддръжката изглежда е налице, но тя е, така да се каже, изключена и няма начин да я включите отново на самия потребител. Същата история с Firefox - поддръжката на TLS 1.1 в него всъщност е, но все още не е достъпна за потребителя.
Резюме от горното многописмо. Каква е опасността от използването на остарели версии на протоколи за криптиране? Фактът, че някой друг ще влезе във вашата защитена връзка със сайта и ще получи достъп до цялата информация "там" и "там". На практика ще стане пълен достъпкъм кутията електронна поща, сметка в системата клиент-банка и др.
Малко вероятно е да бъде възможно случайно да влезете в защитена връзка на някой друг, говорим само за злонамерени действия. Ако вероятността от подобни действия е ниска или информацията, предавана по защитена връзка, не е от особена стойност, тогава не можете да се притеснявате и да използвате браузъри, които поддържат само TLS 1.0.
В противен случай няма избор: само Opera и само TLS 1.2 (TLS 1.1 е само подобрение на TLS 1.0, частично наследяващо проблемите му със сигурността). Любимите ни сайтове обаче може да не поддържат TLS 1.2 :(
Този код за грешка обикновено се появява на екрана, когато отидете на услуга или държавен уебсайт. Ярък пример е официалният портал на EIS. Възможно е причината за повредата да са остарели или несигурни настройки. TSL протокол. Това е много често срещан проблем. Потребителите се сблъскват с него за дълъг период от време. Сега нека да разберем какво точно е причинило тази грешка и как да я поправим.
Сигурността на връзката към уебсайта се осигурява чрез използване на специални протоколи за криптиране - SSL и TSL. Те осигуряват защита при предаване на информация. Протоколите са изградени върху използването на инструменти за симетрично и асиметрично криптиране. Използват се също кодове за удостоверяване на съобщения и други опции. Заедно тези мерки ви позволяват да поддържате връзката анонимна, така че трети страни са лишени от възможността да дешифрират сесията.
Когато в браузъра се появи грешка, съобщаваща за проблеми с TSL протокола, това означава, че уебсайтът използва неправилни параметри. Следователно връзката наистина не е защитена. Достъпът до портала се блокира автоматично.
Най-често потребителите, които работят чрез браузъра Internet Explorer, срещат грешка. Има няколко причини за този неуспех, а именно:
- антивирусът блокира връзката с уебсайта;
- версията на помощната програма CryptoPro е остаряла;
- връзката с портала се осъществява чрез VPN;
- неправилни настройки на браузъра Internet Explorer;
- функцията "SecureBoot" е активирана в BIOS;
- на компютъра има заразени файлове, вируси.
Разбрахме причините за грешката. Време е за анализ възможни начиниразрешаване на проблем.
Инструкции за отстраняване на неизправности
Ако грешката не е изчезнала, тогава е време да изпробвате алтернативни методи:
Практиката показва, че всеки от изброените съвети може да реши проблема. Така че просто следвайте инструкциите.
Заключение
Експертите уверяват, че софтуерна повредасе появява поради инсталираната антивирусна програма на компютъра на потребителя. По някаква причина програмата блокира достъпа до уебсайта. Затова първо просто деактивирайте антивирусната програма, променете настройките за проверка на сертификата. Вероятно това ще реши проблема. Ако грешката не е изчезнала, опитайте всеки от горните съвети. В резултат на това проблемът със сигурността на TSL протокола ще бъде напълно разрешен.
През октомври инженерите на Google публикуваха информация за критична уязвимост в SSL версия 3.0със смешно име ПУДЕЛ(Попълване на Oracle при понижено наследено криптиране или пудел 🙂). Уязвимостта позволява на атакуващ да получи достъп до информация, криптирана с протокола SSLv3, използвайки атака "човек по средата". Уязвимостите засягат както сървъри, така и клиенти, които могат да се свързват с помощта на протокола SSLv3.
Като цяло ситуацията не е изненадваща, т.к. протокол SSL 3.0, представен за първи път през 1996 г., вече е на 18 години и е морално остарял. В повечето практически задачи той вече е заменен от криптографски протокол TLS(версии 1.0, 1.1 и 1.2).
За защита срещу уязвимостта на POODLE е напълно препоръчително деактивирайте поддръжката на SSLv3 от страната на клиента и сървъраи след това използвайте само TLS. За потребителите на наследен софтуер (например тези, които използват IIS 6 на Windows XP), това означава, че те вече няма да могат да преглеждат HTTPS страници и да използват други SSL услуги. В случай, че поддръжката на SSLv3 не е напълно деактивирана и по подразбиране се предлага по-силно криптиране, уязвимостта на POODLE пак ще възникне. Това се дължи на особеностите на избора и договарянето на протокола за криптиране между клиента и сървъра, т.к. когато се открият проблеми при използването на TLS, има автоматичен преход към SSL.
Препоръчваме ви да проверите всички ваши услуги, които могат да използват SSL / TLS под всякаква форма и да деактивирате поддръжката за SSLv3. Можете да проверите вашия уеб сървър за уязвимости, като използвате онлайн тест, например тук: http://poodlebleed.com/.
Забележка. Трябва ясно да се разбере, че деактивирането на SSL v3 на системно ниво ще работи само за софтуер, който използва системни API за SSL криптиране (Internet Explorer, IIS, SQL NLA, RRAS и др.). Програмите, които използват свои собствени крипто инструменти (Firefox, Opera и т.н.), трябва да бъдат актуализирани и конфигурирани индивидуално.
Деактивирайте SSLv3 в Windows на системно ниво
операционна система Windows контролПоддръжката за SSL/TLS протоколи се предоставя чрез системния регистър.
В този пример ще покажем как напълно да деактивирате SSLv3 на системно ниво (както ниво клиент, така и ниво сървър) в Windows сървър 2012R2:
Деактивирайте SSLv2 (Windows 2008 / Server и по-стари)
В операционни системи преди Windows 7 / Windows Server 2008 R2 по подразбиране се използва още по-малко сигурен и остарял протокол SSLv2, което също трябва да бъде деактивирано от съображения за сигурност (в по-нови Windows версии, SSLv2 на ниво клиент е деактивиран по подразбиране и се използват само SSLv3 и TLS1.0). За да деактивирате SSLv2, трябва да повторите горната процедура, само за ключа на системния регистър SSL 2.0.
В Windows 2008/2012 SSLv2 на ниво клиент е деактивиран по подразбиране.
Активирайте TLS 1.1 и TLS 1.2 на Windows Server 2008 R2 и по-нова версия
Windows Server 2008 R2 / Windows 7 и по-нови версии поддържат алгоритми за криптиране TLS 1.1 и TLS 1.2, но тези протоколи са деактивирани по подразбиране. Можете да активирате поддръжка за TLS 1.1 и TLS 1.2 в тези версии на Windows, като използвате подобен сценарий
Помощна програма за управление на системни криптографски протоколи в Windows Server
Съществува безплатна помощна програма IIS Crypto, който ви позволява удобно да управлявате параметрите на криптографските протоколи в Windows Server 2003, 2008 и 2012. С помощта на тази помощна програма можете да активирате или деактивирате всеки от протоколите за криптиране само с две кликвания.
Програмата вече има няколко шаблона, които ви позволяват бързо да приложите предварително зададени настройки за различни опциинастройки на сигурността.
Ако имате проблем, при който достъпът до конкретен сайт е неуспешен и в браузъра ви се появява съобщение, има разумно обяснение за това. Причините и решенията на проблема са дадени в тази статия.
SSL TLS
SSL TLS протокол
Потребителите на бюджетни организации, и не само бюджетни, чиято дейност е пряко свързана с финансите, в сътрудничество с финансови организации, например Министерството на финансите, Министерството на финансите и др., Извършват всичките си операции изключително чрез защитения SSL протокол . По принцип в работата си те използват браузъра Internet Explorer. В някои случаи Mozilla Firefox.
SSL грешка
Основното внимание при извършване на тези операции и работата като цяло се отделя на системата за защита: сертификати, електронни подписи. Използван за работа софтуерТекущата версия на CryptoPro. Относно проблеми с SSL и TLS протоколи, Ако SSL грешкапояви, най-вероятно няма поддръжка за този протокол.
TLS грешка
TLS грешкав много случаи може също да показва липсата на поддръжка за протокола. Но ... да видим какво може да се направи в този случай.
Поддръжка на SSL и TLS протоколи
Така че, когато използвате Microsoft Internet Explorer за посещение на уебсайт през SSL, се показва заглавната лента Уверете се, че ssl протоколии tls са активирани. На първо място, трябва да активирате поддръжката на протокола TLS 1.0 в Internet Explorer.
Ако посещавате уебсайт, който изпълнява Internet Information Services 4.0 или по-нова версия, конфигурирането на Internet Explorer да поддържа TLS 1.0 помага да защитите връзката си. Разбира се, при условие че отдалеченият уеб сървър, който се опитвате да използвате, поддържа този протокол.
За да направите това, менюто Обслужванеизберете отбор интернет настройки.
В раздела ДопълнителноВ глава Безопасност, уверете се, че следните квадратчета са избрани:
Използвайте SSL 2.0
Използвайте SSL 3.0
Използвайте TLS 1.0
Щракнете върху бутона Приложи , и тогава Добре . Рестартирайте браузъра си .
 |
След като активирате TLS 1.0, опитайте да посетите уебсайта отново.
Политика за сигурност на системата
Ако все още ги има грешки с SSL и TLSако все още не можете да използвате SSL, отдалеченият уеб сървър вероятно не поддържа TLS 1.0. В този случай трябва да деактивирате системната политика, която изисква FIPS-съвместими алгоритми.
За да направите това, в Контролни панелиизберете Администрацияи след това щракнете двукратно Местна политика за сигурност.
В локалните настройки за сигурност разгънете възела Местни правила, след което щракнете върху бутона Опции за сигурност.
Според правилата от дясната страна на прозореца щракнете два пъти Системна криптография: Използвайте съвместими с FIPS алгоритми за криптиране, хеширане и подписване, след което щракнете върху бутона хора с увреждания.
внимание! Промяната влиза в сила след повторното прилагане на местната политика за сигурност. Това е Включи гоИ рестартирайте браузъра си .
CryptoPro TLS SSL
Актуализирайте CryptoPro
Конфигуриране на SSL TLS
Конфигурация на мрежата
Друг вариант може да бъде деактивирайте NetBIOS през TCP/IP- намира се в свойствата на връзката.
Регистриране на DLL
Бягай командна линиякато администратор и въведете командата regsvr32 cpcng. За 64-битова ОС трябва да използвате regsvr32, който е в syswow64.
Когато отидете на портал за състояние или услуга (например „EIS“), потребителят може внезапно да срещне грешката „Не може да се свърже сигурно с тази страница. Сайтът може да използва остарели или слаби TLS настройки за сигурност." Този проблемима доста общ характер и е фиксиран от няколко години сред различни категории потребители. Нека да разгледаме същността на тази грешка и възможностите за нейното разрешаване.
Както знаете, сигурността на свързването на потребителите към мрежови ресурсисе предоставя чрез използването на SSL / TSL - криптографски протоколи, отговорни за сигурното предаване на данни в Интернет. Те използват симетрично и асиметрично криптиране, кодове за удостоверяване на съобщенията и други специални функции, за да запазят връзката ви поверителна, като не позволяват на трети страни да дешифрират вашата сесия.
Ако при свързване към сайт браузърът определи, че ресурсът използва неправилни параметри на протокола за сигурност SSL / TSL, тогава потребителят получава горното съобщение и достъпът до сайта може да бъде блокиран.
Доста често ситуацията с протокола TLS възниква в браузъра IE, популярен инструмент за работа със специални правителствени портали, свързани с различни формуляри за отчитане. Работата с подобни портали изисква задължителното наличие на браузъра Internet Explorer и именно на него най-често възниква въпросният проблем.
Причините за грешката „Сайтът може да използва остарели или ненадеждни настройки за сигурност за протокола TLS“ могат да бъдат следните:
Как да коригирате дисфункция: Използват се ненадеждни TLS настройки за сигурност
Решението на възникналия проблем може да бъде в методите, описани по-долу. Но преди да ги опиша, препоръчвам просто да рестартирате компютъра си - за цялата тривиалност този методчесто се оказва доста ефективен.
Ако не помогне, направете следното:
- Деактивирайте временно вашата антивирусна програма. В доста случаи антивирусът блокира достъпа до ненадеждни (по нейни оценки) сайтове. Временно деактивиране антивирусна програмаили деактивирайте проверката на сертификати в настройките на антивирусната програма (например „Не сканирай защитени връзки“ на Kaspersky Antivirus);
- Инсталирайте най-новата версия на програмата CryptoPro на вашия компютър (в случай на предишна работа с тази програма). Остаряла версия на продукта може да причини грешка, че няма защитена връзка със страницата;
- Променете настройките на IE. Отидете на „Опции за интернет“, изберете раздела „Сигурност“, след което щракнете върху „Надеждни сайтове“ (адресът на вашия портал вече трябва да е въведен там, ако не, въведете го). В долната част премахнете отметката от опцията „активиране на защитен режим“.
След това щракнете върху бутона „Сайтове“ по-горе и премахнете отметката от опцията „За всички сайтове в тази зона...“. Кликнете върху „OK“ и опитайте да отидете на проблемния сайт.
- Изтрийте бисквитките на браузъра си IE. Стартирайте браузъра и натиснете бутона Alt, за да се покаже менюто. Изберете раздела "Инструменти" - "Изтриване на хронологията на сърфирането", поставете отметка в квадратчето (ако липсва) на опцията " Бисквитки…”, след което щракнете върху „Изтриване”;
- Деактивирайте използването на VPN програми (ако има такива);
- Опитайте да използвате различен браузър, за да отидете до проблемния ресурс (в случай че не се изисква да използвате конкретен браузър);
- Проверете компютъра си за вируси (например изпитаният "Doctor Web Curate" ще ви помогне);
- Деактивирайте опцията в BIOS сигурно зареждане". Въпреки известната нестандартност на този съвет, той помогна на много повече от един потребител да се отърве от грешката „остарели или ненадеждни TLS параметри“.
Деактивирайте опцията "Secure Boot" в BIOS
Заключение
Причината за грешката „Сайтът може да използва остарели или ненадеждни настройки за сигурност за протокола TLS“ доста често е локалният антивирус на компютъра, който по някаква причина блокира достъпа до желания интернет портал. Ако възникне проблемна ситуация, препоръчително е първо да деактивирате антивирусната си програма, за да сте сигурни, че тя не причинява въпросния проблем. Ако грешката продължава да се повтаря, препоръчвам ви да преминете към прилагане на другите съвети, описани по-долу, за да разрешите проблема с ненадеждните настройки за сигурност на протокола TSL на вашия компютър.
Във връзка с
Зареждане...