Unde să activați tls. Probleme cu protocolul TSL - Nu se poate conecta în siguranță la această pagină

Protocolul TLS criptează toate tipurile de trafic pe Internet, făcând astfel comunicarea și vânzările pe Internet sigure. Vom vorbi despre cum funcționează protocolul și despre ce ne așteaptă în viitor.

Din articol vei afla:

Ce este SSL

SSL sau Secure Sockets Layer a fost numele original pentru un protocol dezvoltat de Netscape la mijlocul anilor '90. SSL 1.0 nu a fost niciodată disponibil public, iar versiunea 2.0 a avut defecte serioase. Protocolul SSL 3.0, lansat în 1996, a fost complet revizuit și a dat tonul pentru următoarea etapă de dezvoltare.

Ce este TLS

Când următoarea versiune a protocolului a fost lansată în 1999, a fost standardizată printr-un program special grup de lucru proiectarea Internetului și i-a dat un nou nume: Transport Layer Security sau TLS. După cum spune documentația TLS, „diferența dintre acest protocol și SSL 3.0 nu este critică”. TLS și SSL formează o serie de protocoale actualizate în mod constant și sunt adesea grupate sub numele SSL/TLS.

Protocolul TLS criptează traficul de internet de orice fel. Cel mai comun tip este traficul web. Știți când browserul dvs. stabilește o conexiune TLS - dacă linkul din bara de adrese începe cu „https”.

TLS este folosit și de alte aplicații, cum ar fi sistemele de e-mail și teleconferințe.

Cum funcționează TLS

Criptarea este necesară pentru a comunica în siguranță pe Internet. Dacă datele dvs. nu sunt criptate, oricine le poate analiza și citi informații sensibile.

Cel mai metoda sigura criptarea este criptare asimetrică. Acest lucru necesită 2 chei, 1 publică și 1 privată. Acestea sunt fișiere cu informații, cel mai adesea foarte numere mari. Mecanismul este complex, dar pentru a spune simplu, puteți folosi cheia publică pentru a cripta datele, dar aveți nevoie de cheia privată pentru a le decripta. Cele două chei sunt legate folosind o formulă matematică complexă, greu de piratat.

Vă puteți gândi la o cheie publică ca la informații despre locația unei chei private cutie poștală cu o gaură și o cheie privată ca o cheie care deschide cutia. Oricine știe unde este cutia poate pune o scrisoare acolo. Dar pentru a-l citi, o persoană are nevoie de o cheie pentru a deschide cutia.

Deoarece criptarea asimetrică utilizează calcule matematice complexe, necesită o mulțime de resurse de calcul. TLS rezolvă această problemă utilizând criptarea asimetrică doar la începutul unei sesiuni pentru a cripta comunicarea dintre server și client. Serverul și clientul trebuie să convină asupra unei singure chei de sesiune, pe care amândoi o folosesc pentru a cripta pachetele de date.

Este apelat procesul prin care clientul și serverul convin asupra unei chei de sesiune strângere de mână. Acesta este momentul în care 2 computere care comunică se prezintă unul altuia.

Procesul de strângere de mână TLS

Procesul de strângere de mână TLS este destul de complex. Pașii de mai jos arată procesul în general, astfel încât să înțelegeți cum funcționează în general.

  1. Clientul contactează serverul și solicită o conexiune securizată. Serverul răspunde cu o listă de criptare - un set algoritmic pentru realizarea conexiunilor criptate - pe care știe să o folosească. Clientul compară lista cu lista sa de cifruri acceptate, îl selectează pe cel adecvat și îi informează serverului pe care îl vor folosi împreună.
  2. Serverul oferă certificat digital - document electronic, semnat de o terță parte, care autentifică serverul. Cel mai Informații importanteîn certificat este cheia publică a cifrului. Clientul autentifică certificatul.
  3. Folosind cheia publică a serverului, clientul și serverul stabilesc o cheie de sesiune, pe care amândoi o vor folosi pe parcursul sesiunii pentru a cripta comunicarea. Există mai multe metode pentru aceasta. Clientul poate folosi cheia publică pentru a cripta un număr arbitrar, care este apoi trimis către server pentru decriptare, iar ambele părți folosesc apoi acest număr pentru a stabili o cheie de sesiune.

Cheia de sesiune este valabilă doar pentru o sesiune continuă. Dacă, dintr-un motiv oarecare, comunicarea dintre client și server este întreruptă, va fi necesară o nouă strângere de mână pentru a stabili o nouă cheie de sesiune.

Vulnerabilități în protocoalele TLS 1.2 și TLS 1.2

TLS 1.2 este cea mai utilizată versiune a protocolului. Această versiune a instalat platforma originală de opțiuni de criptare a sesiunii. Cu toate acestea, la fel ca unele versiuni anterioare ale protocolului, acest protocol a permis utilizarea tehnicilor de criptare mai vechi pentru a suporta computere mai vechi. Din păcate, acest lucru a dus la vulnerabilități ale versiunii 1.2, deoarece aceste mecanisme de criptare mai vechi au devenit mai vulnerabile.

De exemplu, protocolul TLS 1.2 a devenit deosebit de vulnerabil la atacurile de falsificare, în care un hacker interceptează pachete de date în mijlocul unei sesiuni și le trimite după ce le citește sau le modifică. Multe dintre aceste probleme au apărut în ultimii 2 ani, așa că a devenit urgent să se creeze o versiune actualizată a protocolului.

TLS 1.3

Versiunea 1.3 Protocolul TLS, care va fi finalizat în curând, rezolvă multe vulnerabilități prin eliminarea suportului pentru sistemele de criptare vechi.
ÎN versiune noua este compatibil cu Versiuni anterioare: de exemplu, conexiunea va reveni la versiunea TLS 1.2 dacă una dintre părți nu poate folosi mai mult sistem nou criptare în lista de algoritmi de protocol permisi versiunea 1.3. Cu toate acestea, într-un atac de tip falsificare a conexiunii, dacă un hacker încearcă forțat să restaureze versiunea protocolului la 1.2 în mijlocul unei sesiuni, această acțiune va fi observată și conexiunea va fi întreruptă.

Cum să activați suportul TLS 1.3 în browserele Google Chrome și Firefox

Firefox și Chrome acceptă TLS 1.3, dar această versiune nu este activată implicit. Motivul este că până acum există doar în formă de proiect.

Mozilla Firefox

Tastați about:config în bara de adrese a browserului dvs. Confirmați că înțelegeți riscurile.

  1. Se va deschide editorul de setări Firefox.
  2. Introduceți security.tls.version.max în căutare
  3. Schimbați valoarea la 4 făcând dublu clic pe valoarea curentă.



Google Chrome

  1. Introduceți chrome://flags/ în bara de adrese a browserului pentru a deschide panoul de experimente.
  2. Găsiți opțiunea #tls13-variant
  3. Faceți clic pe meniu și setați Activat (Ciornă).
  4. Reporniți browserul.

Cum să verificați dacă browserul dvs. utilizează versiunea 1.2

Vă reamintim că versiunea 1.3 nu este încă în uz public. Dacă nu vrei
utilizați versiunea schiță, puteți rămâne pe versiunea 1.2.

Pentru a verifica dacă browserul dvs. utilizează versiunea 1.2, urmați aceiași pași ca în instrucțiunile de mai sus și asigurați-vă că:

  • Pentru Firefox, valoarea security.tls.version.max este 3. Dacă este mai mică, schimbați-o la 3 făcând dublu clic pe valoarea curentă.
  • Pentru Google Chrome: faceți clic pe meniul browser - selectați Setări- Selectați arata setarile avansate- coborâți la secțiune Sistemși faceți clic pe Deschideți setările proxy...:

  • În fereastra care se deschide, faceți clic pe fila Securitate și verificați dacă câmpul Utilizați TLS 1.2 este bifat. Dacă nu merită, setați-l și faceți clic pe OK:


Modificările vor intra în vigoare după ce reporniți computerul.

Un instrument rapid pentru a verifica versiunea protocolului SSL/TLS a browserului dvs

Accesați SSL Labs Online Protocol Version Checker. Pagina va arăta în timp real ce versiune a protocolului este utilizată și dacă browserul este vulnerabil la vreo vulnerabilitate.

Surse: traducere

Toate raționamentul nostru se bazează pe faptul că utilizați Windows XP sau o versiune ulterioară (Vista, 7 sau 8), care au instalate toate actualizările și corecțiile corespunzătoare. Acum încă o condiție: vorbim despre cele mai recente versiuni de browsere astăzi și nu despre „Ognelis sferic în vid”.

Așadar, configurăm browserele să utilizeze versiunile actuale ale protocolului TLS și să nu utilizeze deloc versiunile sale învechite și SSL. În orice caz, în măsura în care este posibil în teorie.

Iar teoria ne spune că deși Internet Explorer din moment ce versiunea 8 acceptă TLS 1.1 și 1.2, sub Windows XP și Vista nu îl vom forța să facă acest lucru. Faceți clic pe: Instrumente / Opțiuni Internet / Avansat și în secțiunea „Securitate” găsim: SSL 2.0, SSL 3.0, TLS 1.0 ... ați găsit altceva? Felicitări, veți avea TLS 1.1/1.2! Nu a fost găsit - aveți Windows XP sau Vista, iar în Redmond sunteți considerat înapoiat.

Deci, eliminăm bifele de pe toate SSL-urile, le punem pe toate TLS-urile disponibile. Dacă este disponibil doar TLS 1.0, atunci așa să fie, dacă există mai multe versiuni actualizate, este mai bine să le selectați doar pe acestea și să debifați TLS 1.0 (și să nu fiți surprins mai târziu că unele site-uri nu se deschid prin HTTPS) . Apoi faceți clic pe butoanele „Aplicați”, „OK”.

Cu Opera, este mai ușor - ne organizează un banchet adevărat versiuni diferite protocoale: Instrumente/Setări generale/Avansat/Securitate/Protocoale de securitate. Ce vedem? Întregul set, din care lăsăm casetele de selectare doar pentru TLS 1.1 și TLS 1.2, după care facem clic pe butonul „Detalii” și acolo debifăm toate liniile cu excepția celor care încep cu „256 biți AES” - sunt chiar la capăt. Sfârşit. La începutul listei există o linie „AES pe 256 de biți ( Anonim DH/SHA-256), debifați și el. Faceți clic pe „OK” și bucurați-vă de securitate.

Cu toate acestea, Opera are o proprietate ciudată: dacă TLS 1.0 este activat, atunci dacă este necesar să se stabilească o conexiune sigură, folosește imediat această versiune specială a protocolului, indiferent dacă site-ul acceptă altele mai recente. De exemplu, de ce se strecoară - și totul este bine, totul este protejat. Când activați doar TLS 1.1 și 1.2, acesta va încerca mai întâi să folosească o versiune mai avansată și numai dacă aceasta nu este acceptată de site, browserul va trece la versiunea 1.1.

Dar sfericul Ognelis Firefox nu ne va mulțumi deloc: Instrumente / Setări / Avansat / Criptare: tot ce putem face este să dezactivăm SSL, TLS este disponibil doar în versiunea 1.0, nu este nimic de făcut - îl lăsăm cu bifă.

Cu toate acestea, răul se învață în comparație: Chrome și Safari nu conțin deloc setări, care protocol de criptare să folosească. Din câte știm, Safari nu acceptă versiuni TLS mai recente decât 1.0 în versiuni sub Windows și, deoarece lansarea de noi versiuni pentru acest sistem de operare a fost întreruptă, nu va fi.

Chrome, din câte știm, acceptă TLS 1.1, dar, ca și în cazul Safari, nu putem refuza să folosim SSL. Dezactivarea TLS 1.0 în Chrome nu este, de asemenea, imposibil. Dar cu utilizarea reală a TLS 1.1 - o mare întrebare: a fost mai întâi pornit, apoi oprit din cauza problemelor de funcționare și, din câte se poate spune, nu a fost încă repornit. Adică, suportul pare să existe, dar este, parcă, dezactivat și nu există nicio modalitate de a-l reporni utilizatorului însuși. Aceeași poveste cu Firefox - suport TLS 1.1 în el, de fapt, este, dar nu este încă disponibil pentru utilizator.

Rezumat din polilitera de mai sus. Care este pericolul utilizării versiunilor învechite ale protocoalelor de criptare? Faptul că altcineva va intra în conexiunea dumneavoastră securizată la site și va avea acces la toate informațiile „acolo” și „acolo”. În termeni practici, va fi acces complet la cutie E-mail, un cont în sistemul client-bancă etc.

Este puțin probabil că va fi posibil să intrați accidental în conexiunea sigură a altcuiva, vorbim doar de acțiuni rău intenționate. Dacă probabilitatea unor astfel de acțiuni este scăzută sau informațiile transmise printr-o conexiune securizată nu au o valoare deosebită, atunci nu vă puteți deranja și utiliza browsere care acceptă doar TLS 1.0.

Altfel, nu ai de ales: doar Opera și doar TLS 1.2 (TLS 1.1 este doar o îmbunătățire a TLS 1.0, moștenind parțial problemele de securitate). Cu toate acestea, este posibil ca site-urile noastre preferate să nu accepte TLS 1.2 :(

Dacă întâmpinați o problemă în care accesul la un anumit site nu reușește și apare un mesaj în browser, există o explicație rezonabilă pentru aceasta. Cauzele și soluțiile problemei sunt prezentate în acest articol.

SSL TLS

Protocolul SSL TLS

Utilizatorii organizațiilor bugetare, și nu numai bugetare, ale căror activități sunt direct legate de finanțe, în cooperare cu organizații financiare, de exemplu, Ministerul Finanțelor, Trezoreria etc., își desfășoară toate operațiunile exclusiv folosind protocolul securizat SSL . Practic, în munca lor ei folosesc browserul Internet Explorer. În unele cazuri, Mozilla Firefox.

Eroare SSL

Atenția principală, la efectuarea acestor operațiuni, și a lucrării în general, este acordată sistemului de protecție: certificate, semnături electronice. Folosit pentru muncă software CryptoPro versiunea curentă. Cu privire la probleme cu protocoalele SSL și TLS, Dacă Eroare SSL a apărut, cel mai probabil nu există suport pentru acest protocol.

Eroare TLS

Eroare TLSîn multe cazuri poate indica și lipsa suportului pentru protocol. Dar... să vedem ce se poate face în acest caz.

Suport pentru protocoale SSL și TLS

Deci, atunci când utilizați Microsoft Internet Explorer pentru a vizita un site web prin SSL, se afișează bara de titlu Asigurați-vă că ssl și tls sunt activate. În primul rând, trebuie să activați suportul pentru protocolul TLS 1.0 în Internet Explorer.

Dacă vizitați un site web care rulează Internet Information Services 4.0 sau o versiune ulterioară, configurarea Internet Explorer pentru a accepta TLS 1.0 vă ajută să vă securizați conexiunea. Desigur, cu condiția ca serverul web la distanță pe care încercați să îl utilizați să accepte acest protocol.

Pentru a face acest lucru, meniul Serviciu selectați o echipă optiuni de internet.

Pe fila În plusÎn capitolul Siguranță, asigurați-vă că sunt bifate următoarele casete de selectare:

Utilizați SSL 2.0
Utilizați SSL 3.0
Utilizați TLS 1.0

Faceți clic pe butonul aplica , și apoi Bine . Reporniți browserul .

După activarea TLS 1.0, încercați să vizitați din nou site-ul web.

Politica de securitate a sistemului

Dacă mai există erori cu SSL și TLS dacă tot nu puteți utiliza SSL, serverul web la distanță probabil nu acceptă TLS 1.0. În acest caz, trebuie să dezactivați politica de sistem care necesită algoritmi conformi cu FIPS.

Pentru a face acest lucru, în Panouri de control Selectați Administrare, apoi faceți dublu clic Politica locală de securitate.

În setările de securitate locale, extindeți nodul Politici locale, apoi faceți clic pe butonul Opțiuni de securitate.

Conform politicii din partea dreaptă a ferestrei, faceți dublu clic Criptografie de sistem: utilizați algoritmi conformi FIPS pentru criptare, hashing și semnare, apoi faceți clic pe butonul Dezactivat.

Atenţie! Modificarea intră în vigoare după ce politica de securitate locală este reaplicată. Acesta este porniți-lȘi reporniți browserul .

CryptoPro TLS SSL

Actualizați CryptoPro

Configurarea SSL TLS

Configurarea Rețelei

O altă variantă ar putea fi dezactivați NetBIOS prin TCP/IP- situat în proprietățile conexiunii.

Înregistrarea unui DLL

Alerga Linie de comanda ca administrator și introduceți comanda regsvr32 cpcng. Pentru un sistem de operare pe 64 de biți, trebuie să utilizați regsvr32 care se află în syswow64.

În octombrie, inginerii Google au publicat informații despre o vulnerabilitate critică în SSL versiunea 3.0 cu un nume amuzant PUDEL(Umplutură Oracle pe criptare moștenită retrogradată sau Caniche 🙂). Vulnerabilitatea permite unui atacator să obțină acces la informații criptate cu protocolul SSLv3 folosind un atac „om în mijloc”. Vulnerabilitățile afectează atât serverele, cât și clienții care se pot conecta folosind protocolul SSLv3.

În general, situația nu este surprinzătoare, pentru că. protocol SSL 3.0, introdus pentru prima dată în 1996, are deja 18 ani și este depășit din punct de vedere moral. În majoritatea sarcinilor practice, acesta a fost deja înlocuit cu un protocol criptografic TLS(versiunile 1.0, 1.1 și 1.2).

Pentru a vă proteja împotriva vulnerabilității POODLE, este pe deplin recomandat dezactivați suportul SSLv3 atât pe partea client, cât și pe partea serveruluiși apoi utilizați numai TLS. Pentru utilizatorii de software vechi (de exemplu, cei care folosesc IIS 6 pe Windows XP), aceasta înseamnă că nu vor mai putea vizualiza pagini HTTPS și nu vor mai putea folosi alte servicii SSL. În cazul în care suportul SSLv3 nu este complet dezactivat și în mod implicit este oferită o criptare mai puternică, vulnerabilitatea POODLE va apărea în continuare. Acest lucru se datorează particularităților alegerii și negocierii protocolului de criptare între client și server, deoarece atunci când sunt detectate probleme în utilizarea TLS, există o tranziție automată la SSL.

Vă recomandăm să verificați toate serviciile care pot utiliza SSL / TLS sub orice formă și să dezactivați suportul pentru SSLv3. Puteți verifica serverul dvs. web pentru vulnerabilități folosind un test online, de exemplu, aici: http://poodlebleed.com/.

Notă. Trebuie să se înțeleagă clar că dezactivarea SSL v3 la nivel de sistem va funcționa numai pentru software care utilizează API-uri de sistem pentru criptarea SSL (Internet Explorer, IIS, SQL NLA, RRAS etc.). Programele care folosesc propriile instrumente cripto (Firefox, Opera etc.) trebuie actualizate și configurate individual.

Dezactivați SSLv3 în Windows la nivel de sistem

OS Control Windows Suportul pentru protocoalele SSL/TLS este furnizat prin intermediul registrului.

În acest exemplu, vom arăta cum să dezactivați complet SSLv3 la nivel de sistem (atât la nivel de client, cât și de server) în Windows Server 2012R2:

Dezactivați SSLv2 (Windows 2008 / Server și mai jos)

În sistemele de operare anterioare Windows 7 / Windows Server 2008 R2, un protocol și mai puțin sigur și învechit este utilizat în mod implicit SSLv2, care ar trebui, de asemenea, dezactivat din motive de securitate (în mai recent versiuni Windows, SSLv2 la nivel de client este dezactivat în mod implicit și sunt utilizate numai SSLv3 și TLS1.0). Pentru a dezactiva SSLv2, trebuie să repetați procedura de mai sus, doar pentru cheia de registry SSL 2.0.

În Windows 2008/2012, SSLv2 la nivel de client este dezactivat implicit.

Activați TLS 1.1 și TLS 1.2 pe Windows Server 2008 R2 și o versiune ulterioară

Windows Server 2008 R2 / Windows 7 și versiuni ulterioare acceptă algoritmii de criptare TLS 1.1 și TLS 1.2, dar aceste protocoale sunt dezactivate implicit. Puteți activa suportul pentru TLS 1.1 și TLS 1.2 în aceste versiuni de Windows folosind un scenariu similar


Utilitar pentru gestionarea protocoalelor criptografice de sistem în Windows Server

Există utilitate gratuită IIS Crypto, care vă permite să gestionați în mod convenabil parametrii protocoalelor criptografice în Windows Server 2003, 2008 și 2012. Folosind acest utilitar, puteți activa sau dezactiva oricare dintre protocoalele de criptare în doar două clicuri.

Programul are deja mai multe șabloane care vă permit să aplicați rapid presetări pentru diverse opțiuni setări de securitate.



Se încarcă...
Top