Sammendrag
TLS (Transport Layer Security) 1.0 og 1.1 er sikkerhedsprotokoller til oprettelse af krypteringskanaler via computernetværk. Microsoft har understøttet dem siden Windows XP og Windows Server 2003. Lovgivningsmæssige krav ændres dog. Der er også nye sikkerhedssvagheder i TLS 1.0. Så Microsoft anbefaler, at du fjerner afhængigheder af TLS 1.0 og 1.1. Vi anbefaler også, at du deaktiverer TLS 1.0 og 1.1 på operativsystemniveau, hvor det er muligt. Du kan finde flere oplysninger under TLS 1.0- og 1.1-deaktivering. I forhåndsvisningsopdateringen for 20. september 2022 deaktiverer vi som standard TLS 1.0 og 1.1 for programmer, der er baseret på winhttp og wininet. Dette er en del af en løbende indsats. Denne artikel hjælper dig med at genaktivere dem. Disse ændringer afspejles, når du har installeret Windows-opdateringer, der er udgivet den 20. september 2022 eller derefter.
Funktionsmåde ved adgang til TLS 1.0- og 1.1-links i browseren
Efter d. 20. september 2022 vises der en meddelelse, når browseren åbner et websted, der bruger TLS 1.0 eller 1.1. Se Figur 1. Meddelelsen angiver, at webstedet bruger en forældet eller usikker TLS-protokol. Du kan løse dette ved at opdatere TLS-protokollen til TLS 1.2 eller nyere. Hvis dette ikke er muligt, kan du aktivere TLS som beskrevet i Enabling TLS version 1.1 and below.
Figur 1: Browservindue, når du åbner websiden TLS 1.0 og 1.1
Funktionsmåde ved adgang til TLS 1.0- og 1.1-links i winhttp-programmer
Efter opdateringen mislykkes programmer, der er baseret på winhttp, muligvis. Fejlmeddelelsen er "ERROR_WINHTTP_SECURE_FAILURE under udførelse af WinHttpSendRequest-handlingen.".
Funktionsmåde ved adgang til TLS 1.0- og 1.1-links i brugerdefinerede brugergrænsefladeprogrammer, der er baseret på winhttp eller wininet
Når et program forsøger at oprette en forbindelse ved hjælp af TLS 1.1 og nedenfor, kan forbindelsen se ud til at mislykkes. Når du lukker et program, eller det holder op med at fungere, vises dialogboksen Programkompatibilitetsassistent (PCA) som vist i Figur 2.
Figur 2: Dialogboksen Programkompatibilitetsassistent, når du har lukket et program
I pca-dialogboksen står der "Dette program kører muligvis ikke korrekt.". Under det er der to muligheder:
-
Kør programmet ved hjælp af kompatibilitetsindstillinger
-
Dette program kørte korrekt
Kør programmet ved hjælp af kompatibilitetsindstillinger
Når du vælger denne indstilling, genåbnes programmet. Nu fungerer alle de links, der bruger TLS 1.0 og 1.1, korrekt. Derefter vises der ingen pcA-dialogboks. Registreringseditor føjer poster til følgende stier:
-
Computer\HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Store.
-
Computer\HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Layers.
Hvis du har valgt denne indstilling ved en fejl, kan du slette disse poster. Hvis du sletter dem, vises dialogboksen PCA, næste gang du åbner appen.
Figur 3: Liste over programmer, der skal køre ved hjælp af kompatibilitetsindstillinger
Dette program kørte korrekt
Når du vælger denne indstilling, lukkes programmet normalt. Næste gang du åbner programmet igen, vises der ingen pcA-dialogboks. Systemet blokerer alt TLS 1.0- og 1.1-indhold. Registreringseditor føjer følgende post til stien Computer\HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Store. Se Figur 4. Hvis du har valgt denne indstilling ved en fejl, kan du slette denne post. Hvis du sletter posten, vises pca-dialogboksen, næste gang du åbner appen.
Figur 4: Post i Registreringseditor, der angiver, at appen kørte korrekt
Vigtigt Ældre TLS-protokoller er kun aktiveret for bestemte programmer. Dette gælder, selvom de er deaktiveret i indstillinger for hele systemet.
Aktivér TLS version 1.1 og nedenfor (wininet- og Internet Explorer-indstillinger)
Vi anbefaler ikke, at du aktiverer TLS 1.1 og nedenfor, da de ikke længere betragtes som sikre. De er sårbare over for forskellige angreb, såsom POODLE angreb. Før du aktiverer TLS 1.1, skal du derfor gøre et af følgende:
-
Kontrollér, om der findes en nyere version af programmet.
-
Bed appudvikleren om at foretage konfigurationsændringer i appen for at fjerne afhængigheden af TLS 1.1 og nedenfor.
Hvis ingen af løsningerne fungerer, er der to måder at aktivere ældre TLS-protokoller på i indstillinger for hele systemet:
-
Internetindstillinger
-
Redigeringsprogram til gruppepolitik
Internetindstillinger
Hvis du vil åbne Internetindstillinger, skal du skrive Internetindstillinger i søgefeltet på proceslinjen. Du kan også vælge Skift indstillinger i den dialogboks, der vises i Figur 1. På fanen Avanceret skal du rulle ned i panelet Indstillinger . Der kan du aktivere eller deaktivere TLS-protokoller.
Figur 5: Dialogboksen Internetegenskaber
Editor til Gruppepolitik
Hvis du vil åbne Gruppepolitik Editor, skal du skrive gpedit.msc i søgefeltet på proceslinjen. Et vindue som det, der vises i Figur 6, vises.
Figur 6: vinduet Gruppepolitik Editor
-
Gå til >(Computerkonfiguration eller Brugerkonfiguration) > Administrative Templets > Windows-komponenter > Internet Explorer > Internet Kontrolpanel > Avanceret side > Slå understøttelse af kryptering fra. Se figur 7.
-
Dobbeltklik på Slå understøttelse af kryptering fra.
Figur 7: Sti til deaktivering af understøttelse af kryptering i Gruppepolitik Editor
-
Vælg indstillingen Aktiveret . Brug derefter rullelisten til at vælge den TLS-version, du vil aktivere, som vist i Figur 8.
Figur 8: Aktivér Deaktiver understøttelse af kryptering og rulleliste
Når du har aktiveret politikken i Gruppepolitik Editor, kan du ikke ændre den i Internetindstillinger. Hvis du f.eks. vælger Brug SSL3.0 og TLS 1.0, er alle andre indstillinger ikke tilgængelige i Internetindstillinger. Se figur 9. Du kan ikke ændre nogen af indstillingerne i Internetindstillinger, hvis du aktiverer Slå understøttelse af kryptering fra i Gruppepolitik Editor.
Figur 9: Internetindstillinger viser utilgængelige SSL- og TLS-indstillinger
Aktivér TLS version 1.1 og nedenfor (winhttps://settings)
Se Opdatering for at aktivere TLS 1.1 og TLS 1.2 som standard sikre protokoller i WinHTTP i Windows.
Vigtige stier i registreringsdatabasen (wininet- og Internet Explorer-indstillinger)
-
Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings
-
Her kan du finde SecureProtocols, som gemmer værdien af de aktuelt aktiverede protokoller, hvis du bruger Gruppepolitik Editor.
-
-
Computer\HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings
-
Her kan du finde SecureProtocols, som gemmer værdien af aktuelt aktiverede protokoller, hvis du bruger Internetindstillinger.
-
-
Gruppepolitik SecureProtocols tilsidesætter den, der er angivet af Internetindstillinger.
Aktivering af usikker TLS fallback
Ændringerne ovenfor aktiverer TLS 1.0 og TLS 1.1. De vil dog ikke aktivere TLS-fallback. Hvis du vil aktivere TLS fallback, skal du angive EnableInsecureTlsFallback til 1 i registreringsdatabasen under stierne nedenfor.
-
Sådan ændrer du indstillingerne: SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\winhttps://support.office.office.int/office/da-DK/
-
Sådan angives politik: SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings
Hvis EnableInsecureTlsFallback ikke findes, skal du oprette en ny DWORD-post og angive den til 1.
Vigtige stier i registreringsdatabasen
-
ForceDefaultSecureProtocols
-
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\winhttps://support.
-
Det er FALSK som standard. Hvis du angiver en værdi, der ikke er nul, forhindres programmer i at angive brugerdefinerede protokoller ved hjælp af winhttp-indstillingen.
-
-
EnableInsecureTlsFallback
-
Sådan ændrer du indstillingerne: SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\winhttps://support.office.office.int/office/da-DK/
-
Sådan angives politik: SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings
-
Det er FALSK som standard. Hvis du angiver en værdi, der ikke er nul, kan programmer vende tilbage til usikre protokoller (TLS1.0 og 1.1), hvis handshake mislykkes med sikre protokoller (tls1.2 og nyere).
-