Kokkuvõte
Transpordikihi turve (TLS) 1.0 ja 1.1 on turbeprotokollid arvutivõrkude kaudu krüptimiskanalite loomiseks. Microsoft on neid alates Windows XP-st ja Windows Server 2003-st toetanud. Regulatiivsed nõuded muutuvad siiski. Samuti on TLS 1.0-s uusi nõrkusi. Seega soovitab Microsoft eemaldada TLS 1.0 ja 1.1 sõltuvused. Samuti soovitame võimaluse korral TLS 1.0 ja 1.1 operatsioonisüsteemi tasemel keelata. Lisateavet leiate teemast TLS 1.0 ja 1.1 keelamine. 20. septembri 2022 eelvaatevärskenduses keelame winhttp ja winineti põhiste rakenduste jaoks vaikimisi TLS 1.0 ja 1.1. See on osa pidevast pingutusest. See artikkel aitab teil need uuesti lubada. Need muudatused kajastuvad pärast 20. septembril 2022 või hiljem välja antud Windowsi värskenduste installimist.
Käitumine brauseris TLS 1.0 ja 1.1 linkidele juurdepääsemisel
Pärast 20. septembrit 2022 kuvatakse teade, kui brauser avab veebisaidi, mis kasutab TLS 1.0 või 1.1. Vt joonis 1. Teates öeldakse, et sait kasutab aegunud või ebaturvalist TLS-protokolli. Selle probleemi lahendamiseks saate TLS-protokolli värskendada versioonile TLS 1.2 või uuemale versioonile. Kui see pole võimalik, saate TLS-i lubada, nagu on kirjeldatud artiklis TLS-i versiooni 1.1 ja järgmiste versioonide lubamine.
Joonis 1: brauseriaken TLS 1.0 ja 1.1 veebilehele juurdepääsul
Käitumine TLS 1.0 ja 1.1 linkidele juurdepääsul winhttp rakendustes
Pärast värskendamist võivad win-põhised rakendused nurjuda. Tõrketeade on "ERROR_WINHTTP_SECURE_FAILURE toimingu WinHttpSendRequest sooritamisel".
Käitumine TLS 1.0 ja 1.1 linkidele juurdepääsul kohandatud kasutajaliidese rakendustes winhttp või wininet alusel
Kui rakendus proovib luua ühendust TLS 1.1 ja selle all, võib ühendus näida nurjumas. Kui sulgete rakenduse või see lakkab töötamast, kuvatakse dialoogiboks Programmide ühildamise abiline (PCA), nagu on näidatud joonisel 2.
Joonis 2. Programmide ühildamise abilise dialoog pärast rakenduse sulgemist
PcA dialoogiboksis kuvatakse teade "See programm ei pruugi õigesti töötada". Selle all on kaks võimalust.
-
Programmi käivitamine ühilduvussätete abil
-
See programm jooksis õigesti
Programmi käivitamine ühilduvussätete abil
Kui valite selle suvandi, avatakse rakendus uuesti. Nüüd töötavad kõik TLS 1.0 ja 1.1 kasutavad lingid õigesti. Pärast seda ei kuvata dialoogi PCA. Registriredaktor lisab kirjed järgmistesse teedesse.
-
Computer\HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Store.
-
Computer\HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Layers.
Kui valisite selle suvandi kogemata, saate need kirjed kustutada. Kui need kustutate, kuvatakse dialoogiboks PCA järgmine kord, kui rakenduse avate.
Joonis 3. Programmide loend, mis peaksid töötama ühilduvussätete abil
See programm jooksis õigesti
Selle suvandi valimisel sulgub rakendus tavaliselt. Järgmine kord, kui avate rakenduse uuesti, ei kuvata dialoogi PCA. Süsteem blokeerib kogu TLS 1.0 ja 1.1 sisu. Registriredaktor lisab teeleComputer\HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Store järgmise kirje. Vt joonis 4. Kui valisite selle suvandi kogemata, saate selle kirje kustutada. Kirje kustutamisel kuvatakse rakenduse järgmisel avamisel PCA dialoog.
Joonis 4. Registriredaktorisse sisestamine, mis näitab, et rakendus jooksis õigesti
Oluline TLS-i pärandprotokollid on lubatud ainult kindlate rakenduste jaoks. See kehtib isegi siis, kui need on süsteemiülestes sätetes keelatud.
TLS-i versiooni 1.1 ja uuema versiooni lubamine (wininet ja Internet Exploreri sätted)
TLS 1.1 ja uuema versiooni lubamine pole soovitatav, kuna neid ei peeta enam turvaliseks. Nad on haavatavad erinevate rünnakute suhtes, nagu POODLE rünnak. Seega tehke enne TLS 1.1 lubamist ühte järgmistest.
-
Kontrollige, kas rakenduse uuem versioon on saadaval.
-
Paluge rakenduse arendajal teha rakenduses konfiguratsioonimuudatused, et eemaldada sõltuvus TLS 1.1-st ja allpool.
Kui ükski lahendus ei tööta, on süsteemiülestes sätetes TLS-i pärandprotokollide lubamiseks kaks võimalust.
-
Interneti-suvandid
-
Rühmapoliitika redaktor
Interneti-suvandid
Interneti-suvandite avamiseks tippige tegumiriba otsinguväljale Interneti-suvandid . Soovi korral saate valida ka nupu Muuda sätteid joonisel 1 kujutatud dialoogiboksis. Liikuge vahekaardil Täpsemalt paanil Sätted allapoole. Seal saate TLS-protokollid lubada või keelata.
Joonis 5: Interneti-atribuutide dialoog
Rühmapoliitika redaktor
Rühmapoliitika Editori avamiseks tippige tegumiriba otsinguväljale gpedit.msc. Kuvatakse joonisel 6 kujutatud aken.
Joonis 6: Rühmapoliitika aken Korrektor
-
Liikuge kohaliku arvuti poliitika > (arvuti konfiguratsioon või kasutaja konfiguratsioon) > Haldustemplid > Windowsi komponendid> Internet Explorer > Internet Juhtpaneel > täpsem leht > Lülita krüptimistugi välja. Vt joonis 7.
-
Topeltklõpsake valikut Lülita krüptimistugi välja.
Joonis 7. Krüptimistoe väljalülitamise tee Rühmapoliitika Editoris
-
Valige suvand Lubatud . Seejärel valige ripploendist TLS-i versioon, mille soovite lubada, nagu on näidatud joonisel 8.
Joonis 8. Krüptimistoe ja ripploendi väljalülitamine
Kui olete poliitika Rühmapoliitika redaktoris lubanud, ei saa te seda Interneti-suvandite kaudu muuta. Näiteks kui valite Kasuta SSL3.0 ja TLS 1.0, pole kõik muud suvandid Interneti-suvandite jaotises saadaval. Vt joonis 9. Interneti-suvandite sätteid ei saa muuta, kui lubate Rühmapoliitika redaktoris krüptimistoe väljalülitamise.
Joonis 9. Interneti-suvandid, kus on kuvatud kättesaamatud SSL- ja TLS-i sätted
TLS-i versiooni 1.1 ja uuema versiooni lubamine (winhttp settings)
Windowsis WinHTTP-s TLS 1.1 ja TLS 1.2 vaiketurvaliste protokollide lubamiseks vaadake teemat Värskendus.
Olulised registriteed (wininet ja Internet Exploreri sätted)
-
Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings
-
Siit leiate SecureProtocolsi, mis talletab praegu lubatud protokollide väärtuse, kui kasutate Rühmapoliitika Editori.
-
-
Computer\HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings
-
Siit leiate SecureProtocolsi, mis salvestab praegu lubatud protokollide väärtuse, kui kasutate Interneti-suvandeid.
-
-
Rühmapoliitika SecureProtocols alistab Interneti-suvandite komplekti.
Ebaturvaline TLS-i taande lubamine
Ülaltoodud muudatused võimaldavad TLS 1.0 ja TLS 1.1. Siiski ei luba need TLS-i taandeid. TLS-i taande lubamiseks peate järgmiste teede all registris määrama EnableInsecureTlsFallbacki väärtuseks 1.
-
Sätete muutmiseks tehke järgmist. SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\winhttp
-
Poliitika määramine: SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Interneti-sätted
Kui EnableInsecureTlsFallback pole olemas, peate looma uue DWORD-kirje ja määrama selle väärtuseks 1.
Olulised registriteed
-
ForceDefaultSecureProtocols
-
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\winhttp
-
Vaikimisi on see FALSE. Mittenullväärtuse määramisel lõpetavad rakendused kohandatud protokollide seadmise suvandi winhttp abil.
-
-
EnableInsecureTlsFallback
-
Sätete muutmiseks tehke järgmist. SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\winhttp
-
Poliitika määramine: SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Interneti-sätted
-
Vaikimisi on see FALSE. Mittenullväärtuse seadmine võimaldab rakendustel naasta ebaturvalistele protokollidele (TLS1.0 ja 1.1), kui käepigistus nurjub turvaliste protokollidega (tls1.2 ja uuem).
-