סיכום
Transport Layer Security (TLS) 1.0 ו- 1.1 הם פרוטוקולי אבטחה ליצירת ערוצי הצפנה ברשתות מחשבים. Microsoft תמיכה בהם מאז Windows XP ו- Windows Server 2003. עם זאת, דרישות תקינה משתנות. כמו כן, קיימות נקודות תורפה חדשות לאבטחה ב- TLS 1.0. לכן, Microsoft מומלץ להסיר יחסי תלות של TLS 1.0 ו- TLS 1.1. כמו כן, מומלץ להפוך את TLS 1.0 ו- 1.1 ללא זמינים ברמת מערכת ההפעלה, ככל האפשר. לקבלת פרטים נוספים, ראה הפיכת TLS 1.0 ו- 1.1 ללא זמין. בעדכון התצוגה המקדימה של 20 בספטמבר 2022, נבטל את TLS 1.0 ו- 1.1 כברירת מחדל עבור אפליקציות המבוססות על winhttp ו- wininet. זהו חלק ממאמץ מתמשך. מאמר זה יעזור לך להפוך אותם לזמינים מחדש. שינויים אלה ישתקפו לאחר התקנת עדכוני Windows שהופצו ב- 20 בספטמבר 2022 או לאחר מכן.
אופן פעולה בעת גישה לקישורי TLS 1.0 ו- 1.1 בדפדפן
לאחר 20 בספטמבר 2022, תופיע הודעה כאשר הדפדפן יפתח אתר אינטרנט המשתמש ב- TLS 1.0 או ב- TLS 1.1. ראה איור 1. ההודעה מציינת שהאתר משתמש בפרוטוקול TLS מיושן או לא בטוח. כדי לטפל באפשרות זו, באפשרותך לעדכן את פרוטוקול TLS ל- TLS 1.2 ואילך. אם הדבר אינו אפשרי, באפשרותך להפוך את TLS לזמין כמתואר בהפיכת TLS לזמין גירסה 1.1 ומתחתיו.
איור 1: חלון הדפדפן בעת גישה לדף אינטרנט של TLS 1.0 ו- TLS 1.1
אופן פעולה בעת גישה לקישורי TLS 1.0 ו- 1.1 באפליקציות winhttp
לאחר העדכון, אפליקציות המבוססות על winhttp עלולות להיכשל. הודעת השגיאה היא ,"ERROR_WINHTTP_SECURE_FAILURE בעת ביצוע פעולת WinHttpSendRequest".
אופן פעולה בעת גישה לקישורי TLS 1.0 ו- 1.1 ביישומי ממשק משתמש מותאמים אישית המבוססים על winhttp או wininet
כאשר יישום מנסה ליצור חיבור באמצעות TLS 1.1 ומתחתיו, החיבור עשוי להיראות ככשל. בעת סגירת יישום או שהוא מפסיק לפעול, תיבת הדו-שיח מסייע התאימות של התוכניות (PCA) מופיעה כפי שמוצג באיור 2.
איור 2: תיבת הדו-שיח של מסייע תאימות התוכניות לאחר סגירת יישום
תיבת הדו-שיח PCA מציינת כי "ייתכן שתוכנית זו לא הופעלה כראוי". תחת זאת, קיימות שתי אפשרויות:
-
הפעלת התוכנית באמצעות הגדרות תאימות
-
תוכנית זו פועלת כראוי
הפעלת התוכנית באמצעות הגדרות תאימות
כאשר תבחר באפשרות זו, היישום ייפתח מחדש. כעת, כל הקישורים המשתמשים ב- TLS 1.0 ו- 1.1 פועלים כראוי. מתאריך זה, לא תופיע תיבת דו-שיח של PCA. עורך הרישום מוסיף ערכים לנתיבים הבאים:
-
Computer\HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Store.
-
Computer\HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Layers.
אם בחרת באפשרות זו בטעות, באפשרותך למחוק ערכים אלה. אם תמחק אותם, תראה את תיבת הדו-שיח PCA בפעם הבאה שתפתח את האפליקציה.
איור 3: רשימת תוכניות שאמורות לפעול באמצעות הגדרות תאימות
תוכנית זו פועלת כראוי
בעת בחירה באפשרות זו, היישום נסגר כרגיל. בפעם הבאה שתפתח מחדש את היישום, לא תופיע תיבת דו-שיח של PCA. המערכת חוסמת את כל התוכן של TLS 1.0 ו- 1.1. עורך הרישום מוסיף את הערך הבא לנתיב Computer\HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Store. ראה איור 4. אם בחרת באפשרות זו בטעות, באפשרותך למחוק ערך זה. אם תמחק את הערך, תראה את תיבת הדו-שיח PCA בפעם הבאה שתפתח את האפליקציה.
איור 4: ערך בעורך הרישום המציין כי היישום פועל כראוי
חשוב פרוטוקולי TLS מדור קודם זמינים רק עבור יישומים ספציפיים. הדבר נכון גם אם הם אינם זמינים בהגדרות ברחבי המערכת.
הפוך את TLS גירסה 1.1 ומטה לזמין (הגדרות wininet ו- Internet Explorer)
איננו ממליצים להפוך את TLS 1.1 ומתחתיו לזמינים מאחר שהם כבר לא נחשבים לבטוחים. הם פגיעים להתקפות שונות, כגון מתקפות פודל. לכן, לפני הפיכת TLS 1.1 לזמינים, בצע אחת מהפעולות הבאות:
-
בדוק אם יש גירסה חדשה יותר של היישום.
-
בקש ממפתח היישום לבצע שינויי תצורה באפליקציה כדי להסיר תלות ב- TLS 1.1 ולמטה.
במקרה שאף אחד מהפתרונות לא פועל, קיימות שתי דרכים לאפשר פרוטוקולי TLS מדור קודם בהגדרות ברחבי המערכת:
-
אפשרויות אינטרנט
-
עורך מדיניות קבוצתית
אפשרויות אינטרנט
כדי לפתוח את אפשרויות אינטרנט, הקלד אפשרויות אינטרנט בתיבת החיפוש בשורת המשימות. באפשרותך גם לבחור שנה הגדרות מתיבת הדו-שיח המוצגת באיור 1. בכרטיסיה מתקדם , גלול מטה בחלונית הגדרות . שם תוכל להפוך פרוטוקולי TLS לזמינים או ללא זמינים.
איור 5: תיבת הדו-שיח 'מאפייני אינטרנט'
עורך מדיניות קבוצתית שלך
כדי לפתוח את מדיניות קבוצתית, הקלד gpedit.msc בתיבת החיפוש שבשורת המשימות. חלון כמו זה המוצג באיור 6 מופיע.
איור 6: מדיניות קבוצתית 'עורך'
-
נווט אל מדיניות מחשב מקומי > (תצורת מחשב או תצורת משתמש ) > מקדשים ניהוליים > רכיבי Windows > Internet Explorer > לוח הבקרה באינטרנט > דף מתקדם > בטל תמיכה בהצפנה. ראה איור 7.
-
לחץ פעמיים על בטל תמיכה בהצפנה.
איור 7: נתיב לכיבוי תמיכת הצפנה בעורך מדיניות קבוצתית שלך
-
בחר באפשרות זמין. לאחר מכן השתמש ברשימה הנפתחת כדי לבחור את גירסת TLS שברצונך להפוך לזמינה כפי שמוצג באיור 8.
איור 8: אפשר ביטול תמיכה בהצפנה ורשימה נפתחת
לאחר שתאפשר את המדיניות בעורך מדיניות קבוצתית, לא תוכל לשנות אותה ב'אפשרויות אינטרנט'. לדוגמה, אם תבחר באפשרות השתמש ב- SSL3.0 וב- TLS 1.0, כל האפשרויות האחרות לא יהיו זמינות ב'אפשרויות אינטרנט'. ראה איור 9. לא ניתן לשנות אף אחת מההגדרות ב'אפשרויות אינטרנט' אם תפעיל את האפשרות בטל תמיכה בהצפנה בעורך מדיניות קבוצתית.
איור 9: אפשרויות אינטרנט המציגות הגדרות SSL ו- TLS לא זמינות
הפוך את TLS גירסה 1.1 לזמינה ומלמטה (הגדרות winhttp)
נתיבי רישום חשובים (הגדרות wininet ו- Internet Explorer)
-
Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings
-
כאן תוכל למצוא את SecureProtocols, המאחסן את הערך של הפרוטוקולים המותאמים כעת אם אתה משתמש בעורך מדיניות קבוצתית הנוכחי.
-
-
Computer\HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings
-
כאן תוכל למצוא SecureProtocols, המאחסן את הערך של הפרוטוקולים הזמינים כעת אם אתה משתמש באפשרויות אינטרנט.
-
-
מדיניות קבוצתית SecureProtocols מקבל קדימות על-פני זו שערכה אפשרויות אינטרנט.
הפעלת החזרה של TLS לא מאובטח
השינויים לעיל יאפשרו TLS 1.0 ו- TLS 1.1. עם זאת, הם לא יאפשרו חזרה של TLS. כדי להפוך את הגיבוי של TLS לזמין, עליך להגדיר את EnableInsecureTlsFallback ל- 1 ברישום תחת הנתיבים הבאים.
-
כדי לשנות הגדרות: SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\winhttp
-
כדי להגדיר מדיניות: SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings
אם EnableInsecureTlsFallback אינו קיים, עליך ליצור ערך DWORD חדש ולהגדיר אותו ל- 1.
נתיבי רישום חשובים
-
ForceDefaultSecureProtocols
-
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\winhttp
-
הוא FALSE כברירת מחדל. הגדרת ערך שאינו אפס תימנע מיישומים להגדיר פרוטוקולים מותאמים אישית באמצעות אפשרות winhttp.
-
-
EnableInsecureTlsFallback
-
כדי לשנות הגדרות: SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\winhttp
-
כדי להגדיר מדיניות: SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings
-
הוא FALSE כברירת מחדל. הגדרת ערך שאינו אפס תאפשר ליישומים לחזור לפרוטוקולים לא מאובטחים (TLS1.0 ו- 1.1) אם לחיצת היד נכשלת עם פרוטוקולים מאובטחים (tls1.2 ואילך).
-