โปรโตคอล TLS เข้ารหัสการรับส่งข้อมูลทางอินเทอร์เน็ตทุกประเภท จึงทำให้การสื่อสารและการขายบนอินเทอร์เน็ตมีความปลอดภัย เราจะพูดถึงวิธีการทำงานของโปรโตคอลและสิ่งที่รอเราอยู่ในอนาคต
จากบทความคุณจะได้เรียนรู้:
SSL คืออะไร
SSL หรือ Secure Sockets Layer เป็นชื่อดั้งเดิมของโปรโตคอลที่พัฒนาโดย Netscape ในช่วงกลางทศวรรษที่ 90 SSL 1.0 ไม่เคยเปิดเผยต่อสาธารณะ และเวอร์ชัน 2.0 มีข้อบกพร่องร้ายแรง โปรโตคอล SSL 3.0 ซึ่งเปิดตัวในปี 1996 ได้รับการยกเครื่องใหม่ทั้งหมดและกำหนดแนวทางสำหรับการพัฒนาขั้นต่อไป
TLS คืออะไร
เมื่อโปรโตคอลเวอร์ชันถัดไปเปิดตัวในปี 1999 โปรโตคอลดังกล่าวได้รับมาตรฐานพิเศษ กลุ่มทำงานออกแบบอินเทอร์เน็ตและตั้งชื่อใหม่ว่า Transport Layer Security หรือ TLS ตามที่เอกสาร TLS กล่าวว่า "ความแตกต่างระหว่างโปรโตคอลนี้กับ SSL 3.0 นั้นไม่สำคัญ" TLS และ SSL สร้างชุดโปรโตคอลที่ได้รับการปรับปรุงอย่างต่อเนื่อง และมักจะรวมเข้าด้วยกันภายใต้ชื่อ SSL/TLS
โปรโตคอล TLS เข้ารหัสการรับส่งข้อมูลทางอินเทอร์เน็ตทุกประเภท ประเภทที่พบมากที่สุดคือการเข้าชมเว็บ คุณจะรู้ว่าเมื่อใดที่เบราว์เซอร์ของคุณสร้างการเชื่อมต่อ TLS - หากลิงก์ในแถบที่อยู่เริ่มต้นด้วย "https"
TLS ยังใช้โดยแอปพลิเคชันอื่นๆ เช่น อีเมลและระบบการประชุมทางไกล
TLS ทำงานอย่างไร
การเข้ารหัสเป็นสิ่งจำเป็นในการสื่อสารอย่างปลอดภัยบนอินเทอร์เน็ต หากข้อมูลของคุณไม่ได้เข้ารหัส ทุกคนสามารถวิเคราะห์และอ่านข้อมูลที่ละเอียดอ่อนได้
ที่สุด วิธีการที่ปลอดภัยการเข้ารหัสคือ การเข้ารหัสแบบไม่สมมาตร. สิ่งนี้ต้องใช้ 2 คีย์ 1 สาธารณะและ 1 ส่วนตัว ไฟล์เหล่านี้เป็นไฟล์ที่มีข้อมูลซึ่งส่วนใหญ่มักจะมาก ตัวเลขขนาดใหญ่. กลไกนี้ซับซ้อน แต่พูดง่ายๆ ก็คือ คุณสามารถใช้พับลิกคีย์เพื่อเข้ารหัสข้อมูลได้ แต่คุณต้องใช้คีย์ส่วนตัวเพื่อถอดรหัส คีย์ทั้งสองเชื่อมโยงกันโดยใช้สูตรทางคณิตศาสตร์ที่ซับซ้อนซึ่งยากต่อการแฮ็ค
คุณสามารถคิดว่ารหัสสาธารณะเป็นข้อมูลเกี่ยวกับตำแหน่งส่วนตัว กล่องจดหมายมีรูและกุญแจส่วนตัวเหมือนกุญแจเปิดกล่อง ใครก็ตามที่รู้ว่ากล่องอยู่ที่ไหนก็สามารถใส่จดหมายลงไปได้ แต่ในการอ่าน คนๆ หนึ่งต้องใช้กุญแจเพื่อเปิดกล่อง
เนื่องจากการเข้ารหัสแบบอสมมาตรใช้การคำนวณทางคณิตศาสตร์ที่ซับซ้อน จึงต้องใช้ทรัพยากรในการคำนวณจำนวนมาก TLS แก้ปัญหานี้โดยใช้การเข้ารหัสแบบอสมมาตรเฉพาะในช่วงเริ่มต้นของเซสชันเพื่อเข้ารหัสการสื่อสารระหว่างเซิร์ฟเวอร์และไคลเอ็นต์ เซิร์ฟเวอร์และไคลเอนต์ต้องยอมรับคีย์เซสชันเดียว ซึ่งทั้งคู่ใช้ในการเข้ารหัสแพ็กเก็ตข้อมูล
เรียกกระบวนการที่ไคลเอ็นต์และเซิร์ฟเวอร์ยอมรับคีย์เซสชัน จับมือ. นี่คือช่วงเวลาที่คอมพิวเตอร์สื่อสาร 2 เครื่องแนะนำตัวเองให้รู้จักกัน
ขั้นตอนการจับมือ TLS
กระบวนการจับมือ TLS นั้นค่อนข้างซับซ้อน ขั้นตอนด้านล่างแสดงกระบวนการโดยทั่วไป เพื่อให้คุณเข้าใจวิธีการทำงานโดยทั่วไป
- ลูกค้าติดต่อเซิร์ฟเวอร์และร้องขอการเชื่อมต่อที่ปลอดภัย เซิร์ฟเวอร์ตอบสนองด้วยรายการรหัส - ชุดอัลกอริทึมสำหรับสร้างการเชื่อมต่อที่เข้ารหัส - ที่เซิร์ฟเวอร์รู้วิธีใช้ ลูกค้าจะเปรียบเทียบรายการกับรายการรหัสที่รองรับ เลือกรายการที่เหมาะสม และแจ้งให้เซิร์ฟเวอร์ทราบว่าจะใช้รายการใดร่วมกัน
- เซิร์ฟเวอร์ให้บริการ ใบรับรองดิจิทัล - เอกสารอิเล็กทรอนิกส์ลงนามโดยบุคคลที่สามซึ่งรับรองความถูกต้องของเซิร์ฟเวอร์ ที่สุด ข้อมูลสำคัญในใบรับรองคือรหัสสาธารณะของรหัส ลูกค้ารับรองความถูกต้องของใบรับรอง
- การใช้รหัสสาธารณะของเซิร์ฟเวอร์ ไคลเอนต์และเซิร์ฟเวอร์สร้างรหัสเซสชัน ซึ่งทั้งคู่จะใช้ตลอดเซสชันเพื่อเข้ารหัสการสื่อสาร มีหลายวิธีสำหรับสิ่งนี้ ไคลเอ็นต์สามารถใช้คีย์สาธารณะเพื่อเข้ารหัสหมายเลขโดยอำเภอใจ ซึ่งจะถูกส่งไปยังเซิร์ฟเวอร์เพื่อถอดรหัส จากนั้นทั้งสองฝ่ายจะใช้หมายเลขนี้เพื่อสร้างคีย์เซสชัน
คีย์เซสชันใช้ได้สำหรับหนึ่งเซสชันต่อเนื่องเท่านั้น หากด้วยเหตุผลบางอย่าง การสื่อสารระหว่างไคลเอ็นต์และเซิร์ฟเวอร์ถูกขัดจังหวะ จำเป็นต้องมีการจับมือกันใหม่เพื่อสร้างคีย์เซสชันใหม่
ช่องโหว่ในโปรโตคอล TLS 1.2 และ TLS 1.2
TLS 1.2 เป็นโปรโตคอลเวอร์ชันที่ใช้กันอย่างแพร่หลายที่สุด เวอร์ชันนี้ติดตั้งแพลตฟอร์มตัวเลือกการเข้ารหัสเซสชันดั้งเดิม อย่างไรก็ตาม เช่นเดียวกับโปรโตคอลเวอร์ชันก่อนหน้า โปรโตคอลนี้อนุญาตให้ใช้เทคนิคการเข้ารหัสแบบเก่าเพื่อรองรับคอมพิวเตอร์รุ่นเก่า น่าเสียดายที่สิ่งนี้ส่งผลให้เกิดช่องโหว่เวอร์ชัน 1.2 เนื่องจากกลไกการเข้ารหัสที่เก่ากว่าเหล่านี้มีช่องโหว่มากขึ้น
ตัวอย่างเช่น โปรโตคอล TLS 1.2 มีความเสี่ยงเป็นพิเศษต่อการโจมตีโดยเจาะจง ซึ่งแฮ็กเกอร์จะดักจับแพ็กเก็ตข้อมูลในช่วงกลางของเซสชัน และส่งหลังจากอ่านหรือแก้ไข ปัญหาเหล่านี้จำนวนมากได้ปรากฏขึ้นในช่วง 2 ปีที่ผ่านมา ดังนั้นจึงเป็นเรื่องเร่งด่วนที่จะต้องสร้างโปรโตคอลเวอร์ชันอัปเดต
ทล.1.3
เวอร์ชัน 1.3 โปรโตคอล TLSซึ่งจะมีการสรุปในเร็วๆ นี้ แก้ไขช่องโหว่จำนวนมากโดยยกเลิกการสนับสนุนระบบเข้ารหัสแบบเดิม
ใน เวอร์ชั่นใหม่เข้ากันได้กับ รุ่นก่อนหน้า: ตัวอย่างเช่น การเชื่อมต่อจะถอยกลับเป็น TLS เวอร์ชัน 1.2 หากฝ่ายใดฝ่ายหนึ่งไม่สามารถใช้งานได้มากกว่านี้ ระบบใหม่การเข้ารหัสในรายการอัลกอริทึมโปรโตคอลเวอร์ชัน 1.3 ที่อนุญาต อย่างไรก็ตาม ในการโจมตีประเภทแก้ไขการเชื่อมต่อ หากแฮ็กเกอร์พยายามบังคับย้อนกลับเวอร์ชันโปรโตคอลเป็น 1.2 ในช่วงกลางของเซสชัน การกระทำนี้จะถูกสังเกตและการเชื่อมต่อจะถูกยกเลิก
วิธีเปิดใช้งานการรองรับ TLS 1.3 ในเบราว์เซอร์ Google Chrome และ Firefox
Firefox และ Chrome รองรับ TLS 1.3 แต่เวอร์ชันนี้ไม่ได้เปิดใช้งานตามค่าเริ่มต้น เหตุผลก็คือว่ามันมีอยู่ในรูปแบบร่างเท่านั้น
มอซิลลา ไฟร์ฟอกซ์
พิมพ์ about:config ลงในแถบที่อยู่ของเบราว์เซอร์ ยืนยันว่าคุณเข้าใจถึงความเสี่ยง
- ตัวแก้ไขการตั้งค่า Firefox จะเปิดขึ้น
- ป้อน security.tls.version.max ในการค้นหา
- เปลี่ยนค่าเป็น 4 โดยดับเบิลคลิกที่ค่าปัจจุบัน
Google Chrome
- พิมพ์ chrome://flags/ ในแถบที่อยู่ของเบราว์เซอร์เพื่อเปิดแผงการทดสอบ
- ค้นหาตัวเลือกตัวแปร #tls13
- คลิกที่เมนูและตั้งค่าเปิดใช้งาน (ฉบับร่าง)
- รีสตาร์ทเบราว์เซอร์ของคุณ
วิธีตรวจสอบว่าเบราว์เซอร์ของคุณใช้เวอร์ชัน 1.2.2 หรือไม่
เราขอเตือนคุณว่าเวอร์ชัน 1.3 ยังไม่มีการใช้งานแบบสาธารณะ ถ้าคุณไม่ต้องการ
ใช้เวอร์ชันร่าง คุณจะใช้เวอร์ชัน 1.2 ต่อไปได้
หากต้องการตรวจสอบว่าเบราว์เซอร์ของคุณใช้เวอร์ชัน 1.2 ให้ทำตามขั้นตอนเดียวกับในคำแนะนำด้านบนและตรวจสอบให้แน่ใจว่า:
- สำหรับ Firefox ค่าของ security.tls.version.max คือ 3 หากต่ำกว่า ให้เปลี่ยนเป็น 3 โดยดับเบิลคลิกที่ค่าปัจจุบัน
- สำหรับ Google Chrome: คลิกที่เมนูเบราว์เซอร์ - เลือก การตั้งค่า- เลือก แสดงการตั้งค่าขั้นสูง- ลงไปที่ส่วน ระบบและคลิกที่ เปิดการตั้งค่าพร็อกซี…:
- ในหน้าต่างที่เปิดขึ้น ให้คลิกที่แท็บ Security และตรวจสอบว่าได้เลือกช่อง Use TLS 1.2 แล้ว หากไม่คุ้มค่า ให้ตั้งค่าแล้วคลิกตกลง:
การเปลี่ยนแปลงจะมีผลหลังจากที่คุณรีสตาร์ทคอมพิวเตอร์
เครื่องมือที่รวดเร็วในการตรวจสอบเวอร์ชันโปรโตคอล SSL/TLS ของเบราว์เซอร์ของคุณ
ไปที่ SSL Labs Online Protocol Version Checker หน้านี้จะแสดงตามเวลาจริงว่าโปรโตคอลเวอร์ชันใดที่กำลังใช้อยู่ และเบราว์เซอร์นั้นมีความเสี่ยงต่อช่องโหว่ใดหรือไม่
แหล่งที่มา: แปล
เหตุผลทั้งหมดของเราขึ้นอยู่กับความจริงที่ว่าคุณใช้ Windows XP หรือใหม่กว่า (Vista, 7 หรือ 8) ซึ่งมีการติดตั้งการอัปเดตและแพตช์ที่เหมาะสมทั้งหมด ตอนนี้อีกหนึ่งเงื่อนไข: เรากำลังพูดถึงเบราว์เซอร์เวอร์ชันล่าสุดในปัจจุบัน ไม่ใช่ "Ognelis ทรงกลมในสุญญากาศ"
ดังนั้นเราจึงกำหนดค่าเบราว์เซอร์ให้ใช้โปรโตคอล TLS เวอร์ชันปัจจุบัน และไม่ใช้เวอร์ชันที่ล้าสมัยและ SSL เลย ไม่ว่าในกรณีใด ๆ เท่าที่เป็นไปได้ในทางทฤษฎี
และทฤษฎีบอกเราว่าแม้ว่า อินเทอร์เน็ต เอ็กซ์พลอเรอร์เนื่องจากเวอร์ชัน 8 รองรับ TLS 1.1 และ 1.2 ภายใต้ Windows XP และ Vista เราจะไม่บังคับให้ทำเช่นนั้น คลิก: เครื่องมือ / ตัวเลือกอินเทอร์เน็ต / ขั้นสูง และในส่วน "ความปลอดภัย" เราพบ: SSL 2.0, SSL 3.0, TLS 1.0 ... พบอะไรอีกบ้าง ขอแสดงความยินดี คุณจะมี TLS 1.1/1.2! ไม่พบ - คุณมี Windows XP หรือ Vista และใน Redmond ถือว่าคุณล้าหลัง
ดังนั้นเราจึงลบเครื่องหมายถูกออกจาก SSL ทั้งหมด เราวางไว้บน TLS ที่มีอยู่ทั้งหมด หากมีเฉพาะ TLS 1.0 เท่านั้น หากมีเวอร์ชันล่าสุดให้เลือกเฉพาะเวอร์ชันที่ดีกว่าและยกเลิกการเลือก TLS 1.0 (และไม่ต้องแปลกใจในภายหลังว่าบางไซต์ไม่เปิดผ่าน HTTPS) . จากนั้นคลิกปุ่ม "สมัคร", "ตกลง"
ด้วย Opera มันง่ายกว่า - มันจัดงานเลี้ยงจริงให้เราจาก รุ่นต่างๆโปรโตคอล: เครื่องมือ/การตั้งค่าทั่วไป/ขั้นสูง/ความปลอดภัย/โปรโตคอลความปลอดภัย เราเห็นอะไร? ทั้งชุดซึ่งเราออกจากช่องทำเครื่องหมายสำหรับ TLS 1.1 และ TLS 1.2 เท่านั้นหลังจากนั้นเราคลิกปุ่ม "รายละเอียด" และยกเลิกการทำเครื่องหมายทุกบรรทัดยกเว้นบรรทัดที่ขึ้นต้นด้วย "256 บิต AES" - พวกมันอยู่ที่ จบ. ที่จุดเริ่มต้นของรายการมีบรรทัด "256 บิต AES ( ไม่ระบุชื่อ DH/SHA-256) ให้ยกเลิกการเลือกด้วย คลิก "ตกลง" และเพลิดเพลินกับการรักษาความปลอดภัย
อย่างไรก็ตาม Opera มีคุณสมบัติที่แปลกอย่างหนึ่ง: หากเปิดใช้งาน TLS 1.0 หากจำเป็นต้องสร้างการเชื่อมต่อที่ปลอดภัย จะใช้โปรโตคอลเวอร์ชันเฉพาะนี้ทันที โดยไม่คำนึงว่าไซต์นั้นจะรองรับโปรโตคอลที่ใหม่กว่าหรือไม่ ชอบทำไมต้องเครียด - และทุกอย่างเรียบร้อยดีทุกอย่างได้รับการปกป้อง เมื่อคุณเปิดใช้งานเฉพาะ TLS 1.1 และ 1.2 อันดับแรกจะพยายามใช้เวอร์ชันขั้นสูงกว่า และหากไซต์ไม่รองรับ เบราว์เซอร์จะเปลี่ยนเป็นเวอร์ชัน 1.1
แต่ Ognelis Firefox ทรงกลมจะไม่ทำให้เราพอใจเลย: เครื่องมือ / การตั้งค่า / ขั้นสูง / การเข้ารหัส: สิ่งที่เราทำได้คือปิด SSL, TLS ใช้ได้เฉพาะในเวอร์ชัน 1.0 ไม่มีอะไรให้ทำ - เราปล่อยให้มีเครื่องหมายถูก
อย่างไรก็ตาม สิ่งที่ไม่ดีได้เรียนรู้เมื่อเปรียบเทียบ: Chrome และ Safari ไม่มีการตั้งค่าใดๆ เลย โปรโตคอลการเข้ารหัสที่จะใช้ เท่าที่เราทราบ Safari ไม่รองรับ TLS เวอร์ชันล่าสุดกว่า 1.0 ในเวอร์ชันภายใต้ Windows และเนื่องจากการเปิดตัวเวอร์ชันใหม่สำหรับระบบปฏิบัติการนี้ได้ถูกยุติลง จึงไม่รองรับ
เท่าที่เราทราบ Chrome รองรับ TLS 1.1 แต่ในกรณีของ Safari เราไม่สามารถปฏิเสธการใช้ SSL ได้ การปิดใช้งาน TLS 1.0 ใน Chrome ก็ไม่มีทางเช่นกัน แต่ด้วยการใช้งาน TLS 1.1 จริง - คำถามใหญ่: เปิดใช้งานครั้งแรกจากนั้นปิดเนื่องจากปัญหาในการทำงาน และเท่าที่ใครสามารถบอกได้ก็คือยังไม่ได้เปิดใช้งานอีกครั้ง นั่นคือดูเหมือนว่าการสนับสนุนจะอยู่ที่นั่น แต่ก็ปิดอยู่เหมือนเดิมและไม่มีทางที่จะเปิดใช้งานอีกครั้งกับผู้ใช้เอง เรื่องเดียวกันกับ Firefox - TLS 1.1 รองรับในความเป็นจริงคือ แต่ยังไม่พร้อมใช้งานสำหรับผู้ใช้
สรุปจากโพลิเล็ตด้านบน อันตรายของการใช้โปรโตคอลการเข้ารหัสเวอร์ชันที่ล้าสมัยคืออะไร ความจริงที่ว่ามีคนอื่นเข้ามาในการเชื่อมต่อที่ปลอดภัยของคุณไปยังไซต์และเข้าถึงข้อมูลทั้งหมด "ที่นั่น" และ "ที่นั่น" ในแง่ปฏิบัติก็จะ การเข้าถึงแบบเต็มไปที่กล่อง อีเมล,บัญชีในระบบลูกค้า-ธนาคาร เป็นต้น
ไม่น่าจะเป็นไปได้ที่จะเข้าสู่การเชื่อมต่อที่ปลอดภัยของผู้อื่นโดยไม่ตั้งใจ เรากำลังพูดถึงการกระทำที่เป็นอันตรายเท่านั้น หากความน่าจะเป็นของการกระทำดังกล่าวต่ำ หรือข้อมูลที่ส่งผ่านการเชื่อมต่อที่ปลอดภัยไม่มีค่าเฉพาะ คุณก็ไม่ต้องกังวลใจและใช้เบราว์เซอร์ที่รองรับเฉพาะ TLS 1.0
มิฉะนั้น จะไม่มีทางเลือก: เฉพาะ Opera และ TLS 1.2 เท่านั้น (TLS 1.1 เป็นเพียงการปรับปรุงของ TLS 1.0 โดยสืบทอดปัญหาด้านความปลอดภัยบางส่วน) อย่างไรก็ตาม เว็บไซต์โปรดของเราอาจไม่รองรับ TLS 1.2 :(
หากคุณประสบปัญหาการเข้าถึงไซต์ใดไซต์หนึ่งล้มเหลวและมีข้อความปรากฏขึ้นในเบราว์เซอร์ของคุณ มีคำอธิบายที่สมเหตุสมผลสำหรับเรื่องนี้ สาเหตุและวิธีแก้ไขปัญหาได้รับในบทความนี้
SSL TLS
โปรโตคอล SSL TLS
ผู้ใช้ขององค์กรงบประมาณและไม่ใช่เฉพาะองค์กรงบประมาณที่มีกิจกรรมที่เกี่ยวข้องโดยตรงกับการเงิน โดยความร่วมมือกับองค์กรทางการเงิน เช่น กระทรวงการคลัง กระทรวงการคลัง ฯลฯ ดำเนินการทั้งหมดโดยใช้โปรโตคอล SSL ที่ปลอดภัยเท่านั้น . โดยพื้นฐานแล้วพวกเขาใช้เบราว์เซอร์ Internet Explorer ในการทำงาน ในบางกรณี Mozilla Firefox
ข้อผิดพลาด SSL
ความสนใจหลักเมื่อดำเนินการเหล่านี้และงานโดยทั่วไปจะมอบให้กับระบบป้องกัน: ใบรับรอง ลายเซ็นอิเล็กทรอนิกส์. ใช้ในการทำงาน ซอฟต์แวร์ CryptoPro เวอร์ชันปัจจุบัน เกี่ยวกับ ปัญหาเกี่ยวกับโปรโตคอล SSL และ TLS, ถ้า ข้อผิดพลาด SSLปรากฏว่าส่วนใหญ่ไม่รองรับโปรโตคอลนี้
ข้อผิดพลาด TLS
ข้อผิดพลาด TLSในหลายกรณียังสามารถบ่งบอกถึงการขาดการสนับสนุนสำหรับโปรโตคอล แต่...มาดูกันว่ากรณีนี้จะทำอย่างไรได้บ้าง
รองรับโปรโตคอล SSL และ TLS
ดังนั้น เมื่อใช้ Microsoft Internet Explorer เพื่อเยี่ยมชมเว็บไซต์ผ่าน SSL แถบชื่อเรื่องจะแสดงขึ้น ตรวจสอบให้แน่ใจว่าเปิดใช้งาน ssl และ tls แล้ว. ก่อนอื่น คุณต้องเปิดใช้งานการรองรับโปรโตคอล TLS 1.0 ใน Internet Explorer
หากคุณกำลังเยี่ยมชมเว็บไซต์ที่เรียกใช้ Internet Information Services 4.0 หรือใหม่กว่า การกำหนดค่า Internet Explorer ให้รองรับ TLS 1.0 จะช่วยรักษาความปลอดภัยในการเชื่อมต่อของคุณ แน่นอน โดยมีเงื่อนไขว่าเว็บเซิร์ฟเวอร์ระยะไกลที่คุณพยายามใช้รองรับโปรโตคอลนี้
ในการทำเช่นนี้เมนู บริการเลือกทีม ตัวเลือกอินเทอร์เน็ต.
บนแท็บ นอกจากนี้ในบท ความปลอดภัยตรวจสอบให้แน่ใจว่าได้เลือกช่องทำเครื่องหมายต่อไปนี้:
ใช้ SSL 2.0
ใช้ SSL 3.0
ใช้ TLS 1.0
คลิกที่ปุ่ม นำมาใช้ แล้ว ตกลง . รีสตาร์ทเบราว์เซอร์ของคุณ .
 |
หลังจากเปิดใช้งาน TLS 1.0 แล้ว ให้ลองเข้าไปที่เว็บไซต์อีกครั้ง
นโยบายความปลอดภัยของระบบ
ถ้ายังมี ข้อผิดพลาดเกี่ยวกับ SSL และ TLSหากคุณยังไม่สามารถใช้ SSL ได้ แสดงว่าเว็บเซิร์ฟเวอร์ระยะไกลอาจไม่รองรับ TLS 1.0 ในกรณีนี้ คุณต้องปิดใช้งานนโยบายระบบที่ต้องใช้อัลกอริทึมที่สอดคล้องกับ FIPS
ในการทำเช่นนี้ใน แผงควบคุมเลือก การบริหารแล้วดับเบิลคลิก นโยบายความปลอดภัยท้องถิ่น.
ในการตั้งค่าความปลอดภัยในเครื่อง ให้ขยายโหนด นโยบายท้องถิ่นแล้วคลิกปุ่ม ตัวเลือกความปลอดภัย.
ตามนโยบายด้านขวาของหน้าต่าง ดับเบิ้ลคลิก การเข้ารหัสระบบ: ใช้อัลกอริทึมที่สอดคล้องกับ FIPS สำหรับการเข้ารหัส การแฮช และการเซ็นชื่อแล้วคลิกปุ่ม พิการ.
ความสนใจ! การเปลี่ยนแปลงจะมีผลหลังจากนำนโยบายความปลอดภัยในเครื่องมาใช้ใหม่ นั่นคือ เปิดและ รีสตาร์ทเบราว์เซอร์ของคุณ .
CryptoPro TLS SSL
อัปเดต CryptoPro
การกำหนดค่า SSL TLS
การกำหนดค่าเครือข่าย
อีกทางเลือกหนึ่งอาจเป็นได้ ปิดใช้งาน NetBIOS ผ่าน TCP/IP- อยู่ในคุณสมบัติของการเชื่อมต่อ
การลงทะเบียน DLL
วิ่ง บรรทัดคำสั่งในฐานะผู้ดูแลระบบและป้อนคำสั่ง regsvr32 cpcng. สำหรับระบบปฏิบัติการ 64 บิต คุณต้องใช้ regsvr32 ที่อยู่ใน syswow64
ในเดือนตุลาคม วิศวกรของ Google ได้เผยแพร่ข้อมูลเกี่ยวกับช่องโหว่ที่สำคัญใน SSL เวอร์ชัน 3.0ด้วยชื่อที่ตลก พุดเดิ้ล(การเติม Oracle บนการเข้ารหัสแบบดั้งเดิมที่ดาวน์เกรดหรือพุดเดิ้ล 🙂) ช่องโหว่นี้ทำให้ผู้โจมตีสามารถเข้าถึงข้อมูลที่เข้ารหัสด้วยโปรโตคอล SSLv3 โดยใช้การโจมตีแบบ "คนอยู่ตรงกลาง" ช่องโหว่ส่งผลกระทบต่อทั้งเซิร์ฟเวอร์และไคลเอนต์ที่สามารถเชื่อมต่อโดยใช้โปรโตคอล SSLv3
โดยทั่วไปแล้วสถานการณ์ไม่น่าแปลกใจเพราะ มาตรการ เอสเอสแอล 3.0เปิดตัวครั้งแรกในปี 1996 มีอายุ 18 ปีแล้วและล้าสมัยทางศีลธรรม ในงานจริงส่วนใหญ่ มันถูกแทนที่ด้วยโปรโตคอลการเข้ารหัสแล้ว ทล(เวอร์ชัน 1.0, 1.1 และ 1.2)
เพื่อป้องกันช่องโหว่ของ POODLE ขอแนะนำอย่างเต็มที่ ปิดใช้งานการสนับสนุน SSLv3 ทั้งฝั่งไคลเอ็นต์และเซิร์ฟเวอร์แล้วใช้เฉพาะ TLS สำหรับผู้ใช้ซอฟต์แวร์รุ่นเก่า (เช่น ผู้ที่ใช้ IIS 6 บน Windows XP) หมายความว่าพวกเขาจะไม่สามารถดูหน้า HTTPS และใช้บริการ SSL อื่นๆ ได้อีกต่อไป ในกรณีที่การรองรับ SSLv3 ไม่ได้ถูกปิดใช้งานโดยสมบูรณ์ และมีการเสนอการเข้ารหัสที่แรงขึ้นตามค่าเริ่มต้น ช่องโหว่ POODLE จะยังคงเกิดขึ้น นี่เป็นเพราะลักษณะเฉพาะของตัวเลือกและการเจรจาของโปรโตคอลการเข้ารหัสระหว่างไคลเอนต์และเซิร์ฟเวอร์เพราะ เมื่อตรวจพบปัญหาในการใช้ TLS จะมีการเปลี่ยนไปใช้ SSL โดยอัตโนมัติ
เราขอแนะนำให้คุณตรวจสอบบริการทั้งหมดของคุณว่าสามารถใช้ SSL / TLS ในรูปแบบใดก็ได้ และปิดใช้งานการสนับสนุน SSLv3 คุณสามารถตรวจสอบช่องโหว่ของเว็บเซิร์ฟเวอร์โดยใช้การทดสอบออนไลน์ เช่น ที่นี่: http://poodlebleed.com/
บันทึก. ต้องเข้าใจอย่างชัดเจนว่าการปิดใช้งาน SSL v3 ที่ระดับระบบจะใช้ได้กับซอฟต์แวร์ที่ใช้ API ของระบบสำหรับการเข้ารหัส SSL เท่านั้น (Internet Explorer, IIS, SQL NLA, RRAS เป็นต้น) โปรแกรมที่ใช้เครื่องมือเข้ารหัสของตนเอง (Firefox, Opera ฯลฯ) จำเป็นต้องได้รับการอัปเดตและกำหนดค่าทีละรายการ
ปิดใช้งาน SSLv3 ใน Windows ที่ระดับระบบ
ระบบปฏิบัติการ การควบคุม Windowsรองรับโปรโตคอล SSL/TLS ผ่านรีจิสทรี
ในตัวอย่างนี้ เราจะแสดงวิธีการปิดใช้งาน SSLv3 อย่างสมบูรณ์ที่ระดับระบบ (ทั้งระดับไคลเอนต์และเซิร์ฟเวอร์) ใน วินโดวส์เซิร์ฟเวอร์ 2012R2:
ปิดใช้งาน SSLv2 (Windows 2008 / Server และต่ำกว่า)
ในระบบปฏิบัติการก่อนหน้า Windows 7 / Windows Server 2008 R2 โปรโตคอลที่ปลอดภัยและล้าสมัยแม้แต่น้อยจะถูกใช้เป็นค่าเริ่มต้น SSLv2ซึ่งควรปิดใช้งานด้วยเหตุผลด้านความปลอดภัยด้วย (ในเวอร์ชันล่าสุด รุ่นของ Windows SSLv2 ระดับไคลเอ็นต์จะถูกปิดใช้งานโดยค่าเริ่มต้น และใช้เฉพาะ SSLv3 และ TLS1.0 เท่านั้น) หากต้องการปิดใช้งาน SSLv2 คุณต้องทำตามขั้นตอนข้างต้นซ้ำ เฉพาะคีย์รีจิสทรีเท่านั้น เอสเอสแอล 2.0.
ใน Windows 2008/2012 SSLv2 ที่ระดับไคลเอนต์จะถูกปิดใช้งานตามค่าเริ่มต้น
เปิดใช้งาน TLS 1.1 และ TLS 1.2 บน Windows Server 2008 R2 และสูงกว่า
Windows Server 2008 R2 / Windows 7 ขึ้นไปรองรับอัลกอริทึมการเข้ารหัส TLS 1.1 และ TLS 1.2 แต่โปรโตคอลเหล่านี้จะถูกปิดใช้งานตามค่าเริ่มต้น คุณสามารถเปิดใช้งานการสนับสนุนสำหรับ TLS 1.1 และ TLS 1.2 ใน Windows รุ่นเหล่านี้โดยใช้สถานการณ์ที่คล้ายกัน
ยูทิลิตี้สำหรับจัดการโปรโตคอลการเข้ารหัสของระบบใน Windows Server
มีอยู่ ยูทิลิตี้ฟรี IIS Crypto ซึ่งช่วยให้คุณจัดการพารามิเตอร์ของโปรโตคอลการเข้ารหัสใน Windows Server 2003, 2008 และ 2012 ได้อย่างสะดวก เมื่อใช้ยูทิลิตี้นี้ คุณสามารถเปิดหรือปิดใช้งานโปรโตคอลการเข้ารหัสใดๆ ได้ด้วยการคลิกสองครั้ง
โปรแกรมมีเทมเพลตหลายตัวที่ให้คุณใช้ค่าที่ตั้งไว้ล่วงหน้าได้อย่างรวดเร็ว ตัวเลือกต่างๆตั้งค่าความปลอดภัย.
กำลังโหลด...