Sažetak
Transport Layer Security (TLS) 1.0 i 1.1 sigurnosni su protokoli za stvaranje kanala za šifriranje putem računalnih mreža. Microsoft ih podržava od sustava Windows XP i Windows Server 2003. Međutim, regulatorni zahtjevi se mijenjaju. Također, postoje nove sigurnosne slabosti u TLS 1.0. Zato Microsoft da uklonite ovisnosti TLS 1.0 i 1.1. Preporučujemo i da onemogućite TLS 1.0 i 1.1 na razini operacijskog sustava gdje je to moguće. Dodatne informacije potražite u člancima Onemogućivanje TLS 1.0 i 1.1. U ažuriranju za pretpregled od 20. rujna 2022. po zadanom ćemo onemogućiti TLS 1.0 i 1.1 za aplikacije utemeljene na winhttp i wininet. To je dio stalnog truda. Ovaj će vam članak pomoći da ih ponovno omogućite. Te će se promjene odraziti nakon instalacije ažuriranja sustava Windows objavljenih 20. rujna 2022. ili kasnije.
Ponašanje prilikom pristupa vezama TLS 1.0 i 1.1 u pregledniku
Nakon 20. rujna 2022. prikazat će se poruka kada preglednik otvori web-mjesto koje koristi TLS 1.0 ili 1.1. Pogledajte sliku 1. U poruci se kaže da web-mjesto koristi zastarjeli ili nesigurni TLS protokol. Da biste riješili taj problem, možete ažurirati protokol TLS na TLS 1.2 ili noviju verziju. Ako to nije moguće, možete omogućiti TLS kao što je opisano u članku Omogućivanje TLS verzije 1.1 i u nastavku.
Slika 1: prozor preglednika prilikom pristupa web-stranici TLS 1.0 i 1.1
Ponašanje prilikom pristupa vezama TLS 1.0 i 1.1 u winhttp aplikacijama
Nakon ažuriranja aplikacije utemeljene na win-uhttp možda neće uspjeti. Poruka o pogrešci je "ERROR_WINHTTP_SECURE_FAILURE tijekom izvođenja operacije WinHttpSendRequest".
Ponašanje prilikom pristupa vezama TLS 1.0 i 1.1 u prilagođenim aplikacijama korisničkog sučelja na temelju winhttp ili wininet
Kada aplikacija pokuša stvoriti vezu pomoću TLS 1.1 i ispod, veza možda neće uspjeti. Kada zatvorite aplikaciju ili ona prestane funkcionirati, dijaloški okvir Pomoćnik za kompatibilnost programa (PCA) prikazuje se kao što je prikazano na slici 2.
Slika 2: Dijaloški okvir Pomoćnik za kompatibilnost programa nakon zatvaranja aplikacije
U dijaloškom okviru PCA prikazuje se "Ovaj program možda nije pravilno pokrenut". Ispod toga postoje dvije mogućnosti:
-
Pokretanje programa pomoću postavki kompatibilnosti
-
Ovaj je program pravilno pokrenut
Pokretanje programa pomoću postavki kompatibilnosti
Kada odaberete tu mogućnost, aplikacija će se ponovno otvoriti. Sada sve veze koje koriste TLS 1.0 i 1.1 funkcioniraju ispravno. Od tada se neće prikazati dijaloški okvir PCA. Uređivač registra dodaje unose na sljedeće putove:
-
Computer\HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Store.
-
Computer\HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Layers je.
Ako ste tu mogućnost odabrali pogreškom, te unose možete izbrisati. Ako ih izbrišete, sljedeći put kada otvorite aplikaciju vidjet ćete dijaloški okvir PCA.
Slika 3: Popis programa koji bi se trebali pokrenuti pomoću postavki kompatibilnosti
Ovaj je program pravilno pokrenut
Kada odaberete tu mogućnost, aplikacija se obično zatvara. Kada sljedeći put ponovno otvorite aplikaciju, neće se prikazati dijaloški okvir PCA. Sustav blokira sav sadržaj TLS 1.0 i 1.1. Uređivač registra dodaje sljedeći unos u put doComputer\HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Store. Pogledajte sliku 4. Ako ste tu mogućnost odabrali pogreškom, možete izbrisati ovaj unos. Ako izbrišete unos, sljedeći put kada otvorite aplikaciju, prikazat će vam se dijaloški okvir PCA.
Slika 4: unos u uređivaču registra u kojem se označava da je aplikacija ispravno pokrenuta
Važno Naslijeđeni TLS protokoli omogućeni su samo za određene aplikacije. To vrijedi čak i ako su onemogućene u postavkama na razini sustava.
Omogućivanje TLS verzije 1.1 i ispod (wininet i postavke preglednika Internet Explorer)
Ne preporučujemo omogućivanje TLS 1.1 i u nastavku jer se više ne smatraju sigurnima. Oni su izloženi različitim napadima, kao što su POODLE napada. Dakle, prije omogućivanja TLS 1.1 učinite nešto od sljedećeg:
-
Provjerite je li dostupna novija verzija aplikacije.
-
Zatražite od razvojnog inženjera da promijeni konfiguraciju u aplikaciji da ukloni ovisnost o TLS-u 1.1 i nastavku.
U slučaju da nijedno rješenje ne funkcionira, postoje dva načina omogućivanja naslijeđenih TLS protokola u postavkama na razini sustava:
-
Internetske mogućnosti
-
Uređivač pravilnika grupe
Internetske mogućnosti
Da biste otvorili internetske mogućnosti, u okvir za pretraživanje na programskoj traci upišite Internetske mogućnosti. Možete i odabrati Promjena postavki u dijaloškom okviru prikazanom na slici 1. Na kartici Dodatno pomaknite se prema dolje na ploči Postavke. Ondje možete omogućiti ili onemogućiti TLS protokole.
Slika 5: dijaloški okvir Internetska svojstva
Uređivač pravilnik grupe programa
Da biste otvorili uređivač pravilnik grupe, u okvir za pretraživanje na programskoj traci upišite gpedit.msc. Pojavit će se prozor kao onaj prikazan na slici 6.
Slika 6: pravilnik grupe redaktor prozora
-
Idite na Pravila lokalnog računala > (Konfiguracija računala ili korisnička konfiguracija) > Administrativni templeti > Komponente sustava Windows > Internet Explorer > Internet Upravljačka ploča > Napredna stranica > Isključi podršku za šifriranje. Pogledajte sliku 7.
-
Dvokliknite Isključi podršku za šifriranje.
Slika 7: Put do isključenja podrške za šifriranje u pravilnik grupe uređivaču
-
Odaberite mogućnost Omogućeno. Zatim pomoću padajućeg popisa odaberite TLS verziju koju želite omogućiti kao što je prikazano na slici 8.
Slika 8: Omogući isključivanje podrške za šifriranje i padajućeg popisa
Kada omogućite pravilnik u uređivaču pravilnik grupe, ne možete ga promijeniti u internetskim mogućnostima. Ako, primjerice, odaberete Koristi SSL3.0 i TLS 1.0, sve ostale mogućnosti neće biti dostupne u internetskim mogućnostima. Pogledajte sliku 9. Postavke u odjeljku Internetske mogućnosti ne možete promijeniti ako omogućite isključivanje podrške za šifriranje u pravilnik grupe uređivaču.
Slika 9: Internetske mogućnosti s prikazom nedostupnih SSL i TLS postavki
Omogućivanje TLS verzije 1.1 i u nastavku (winhttp settings)
Važni putovi registra (wininet i postavke preglednika Internet Explorer)
-
Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings
-
Ovdje možete pronaći SecureProtocols koji pohranjuje vrijednost trenutno omogućenih protokola ako koristite uređivač pravilnik grupe editor.
-
-
Computer\HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings
-
Ovdje možete pronaći SecureProtocols koji pohranjuje vrijednost trenutno omogućenih protokola ako koristite internetske mogućnosti.
-
-
pravilnik grupe SecureProtocols ima prednost nad onom koji su postavili internetske mogućnosti.
Omogućivanje nesigurnog vraćanja TLS-a
Prethodno navedene izmjene omogućit će TLS 1.0 i TLS 1.1. No neće omogućiti pričuvni TLS. Da biste omogućili vraćanje TLS-a, morate postaviti EnableInsecureTlsFallback na 1 u registru ispod putova u nastavku.
-
Da biste promijenili postavke: SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\winhttp
-
Postavljanje pravilnika: SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings
Ako EnableInsecureTlsFallback nije prisutan, morate stvoriti novi unos DWORD i postaviti ga na 1.
Važni putovi registra
-
ForceDefaultSecureProtocols
-
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\winhttp
-
Po zadanom je FALSE. Postavljanjem vrijednosti koja nije nula aplikacije će se onemogućiti postavljanje prilagođenih protokola pomoću mogućnosti winhttp.
-
-
EnableInsecureTlsFallback
-
Da biste promijenili postavke: SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\winhttp
-
Postavljanje pravilnika: SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings
-
Po zadanom je FALSE. Postavljanje vrijednosti koja nije nula omogućit će aplikacijama vraćanje na nesigurne protokole (TLS1.0 i 1.1) ako rukovanje ne uspije uz sigurne protokole (tls1.2 i noviji).
-