Applies ToWin 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows Server 2019 Windows 10 Enterprise Multi-Session, version 20H2 Windows 10 Enterprise and Education, version 20H2 Windows 10 IoT Enterprise, version 20H2 Windows 10 on Surface Hub Windows 10, version 21H1, all editions Windows 10, version 21H2, all editions

Sažetak

Transport Layer Security (TLS) 1.0 i 1.1 sigurnosni su protokoli za stvaranje kanala za šifriranje putem računalnih mreža. Microsoft ih podržava od sustava Windows XP i Windows Server 2003. Međutim, regulatorni zahtjevi se mijenjaju. Također, postoje nove sigurnosne slabosti u TLS 1.0. Zato Microsoft da uklonite ovisnosti TLS 1.0 i 1.1. Preporučujemo i da onemogućite TLS 1.0 i 1.1 na razini operacijskog sustava gdje je to moguće. Dodatne informacije potražite u člancima Onemogućivanje TLS 1.0 i 1.1. U ažuriranju za pretpregled od 20. rujna 2022. po zadanom ćemo onemogućiti TLS 1.0 i 1.1 za aplikacije utemeljene na winhttp i wininet. To je dio stalnog truda. Ovaj će vam članak pomoći da ih ponovno omogućite. Te će se promjene odraziti nakon instalacije ažuriranja sustava Windows objavljenih 20. rujna 2022. ili kasnije.  

Ponašanje prilikom pristupa vezama TLS 1.0 i 1.1 u pregledniku

Nakon 20. rujna 2022. prikazat će se poruka kada preglednik otvori web-mjesto koje koristi TLS 1.0 ili 1.1. Pogledajte sliku 1. U poruci se kaže da web-mjesto koristi zastarjeli ili nesigurni TLS protokol. Da biste riješili taj problem, možete ažurirati protokol TLS na TLS 1.2 ili noviju verziju. Ako to nije moguće, možete omogućiti TLS kao što je opisano u članku Omogućivanje TLS verzije 1.1 i u nastavku.

Prozor preglednika Internet Explorer prilikom pristupa vezama TLS 1.0 i 1.1

Slika 1: prozor preglednika prilikom pristupa web-stranici TLS 1.0 i 1.1

Ponašanje prilikom pristupa vezama TLS 1.0 i 1.1 u winhttp aplikacijama

Nakon ažuriranja aplikacije utemeljene na win-uhttp možda neće uspjeti. Poruka o pogrešci je "ERROR_WINHTTP_SECURE_FAILURE tijekom izvođenja operacije WinHttpSendRequest".

Ponašanje prilikom pristupa vezama TLS 1.0 i 1.1 u prilagođenim aplikacijama korisničkog sučelja na temelju winhttp ili wininet

Kada aplikacija pokuša stvoriti vezu pomoću TLS 1.1 i ispod, veza možda neće uspjeti. Kada zatvorite aplikaciju ili ona prestane funkcionirati, dijaloški okvir Pomoćnik za kompatibilnost programa (PCA) prikazuje se kao što je prikazano na slici 2.

Skočni prozor pomoćnika za kompatibilnost programa nakon zatvaranja aplikacije

Slika 2: Dijaloški okvir Pomoćnik za kompatibilnost programa nakon zatvaranja aplikacije

U dijaloškom okviru PCA prikazuje se "Ovaj program možda nije pravilno pokrenut". Ispod toga postoje dvije mogućnosti:

  • Pokretanje programa pomoću postavki kompatibilnosti

  • Ovaj je program pravilno pokrenut

Pokretanje programa pomoću postavki kompatibilnosti

Kada odaberete tu mogućnost, aplikacija će se ponovno otvoriti. Sada sve veze koje koriste TLS 1.0 i 1.1 funkcioniraju ispravno. Od tada se neće prikazati dijaloški okvir PCA. Uređivač registra dodaje unose na sljedeće putove:

  • Computer\HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Store.  

  • Computer\HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Layers je. 

Ako ste tu mogućnost odabrali pogreškom, te unose možete izbrisati. Ako ih izbrišete, sljedeći put kada otvorite aplikaciju vidjet ćete dijaloški okvir PCA.

Popis programa koje je potrebno pokrenuti pomoću postavki kompatibilnosti

Slika 3: Popis programa koji bi se trebali pokrenuti pomoću postavki kompatibilnosti

Ovaj je program pravilno pokrenut

Kada odaberete tu mogućnost, aplikacija se obično zatvara. Kada sljedeći put ponovno otvorite aplikaciju, neće se prikazati dijaloški okvir PCA. Sustav blokira sav sadržaj TLS 1.0 i 1.1. Uređivač registra dodaje sljedeći unos u put doComputer\HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Store. Pogledajte sliku 4. Ako ste tu mogućnost odabrali pogreškom, možete izbrisati ovaj unos. Ako izbrišete unos, sljedeći put kada otvorite aplikaciju, prikazat će vam se dijaloški okvir PCA.

Unos u uređivač registra koji određuje da je aplikacija ispravno pokrenuta

Slika 4: unos u uređivaču registra u kojem se označava da je aplikacija ispravno pokrenuta

Važno Naslijeđeni TLS protokoli omogućeni su samo za određene aplikacije. To vrijedi čak i ako su onemogućene u postavkama na razini sustava.

Omogućivanje TLS verzije 1.1 i ispod (wininet i postavke preglednika Internet Explorer)

Ne preporučujemo omogućivanje TLS 1.1 i u nastavku jer se više ne smatraju sigurnima. Oni su izloženi različitim napadima, kao što su POODLE napada. Dakle, prije omogućivanja TLS 1.1 učinite nešto od sljedećeg:

  • Provjerite je li dostupna novija verzija aplikacije.

  • Zatražite od razvojnog inženjera da promijeni konfiguraciju u aplikaciji da ukloni ovisnost o TLS-u 1.1 i nastavku.

U slučaju da nijedno rješenje ne funkcionira, postoje dva načina omogućivanja naslijeđenih TLS protokola u postavkama na razini sustava:

  • Internetske mogućnosti

  • Uređivač pravilnika grupe

Internetske mogućnosti

Da biste otvorili internetske mogućnosti, u okvir za pretraživanje na programskoj traci upišite Internetske mogućnosti. Možete i odabrati Promjena postavki u dijaloškom okviru prikazanom na slici 1. Na kartici Dodatno pomaknite se prema dolje na ploči Postavke. Ondje možete omogućiti ili onemogućiti TLS protokole.

Prozor Internetske mogućnosti

Slika 5: dijaloški okvir Internetska svojstva

Uređivač pravilnik grupe programa

Da biste otvorili uređivač pravilnik grupe, u okvir za pretraživanje na programskoj traci upišite gpedit.msc. Pojavit će se prozor kao onaj prikazan na slici 6. 

Prozor uređivača pravilnika grupe

Slika 6: pravilnik grupe redaktor prozora

  1. Idite na Pravila lokalnog računala > (Konfiguracija računala ili korisnička konfiguracija) > Administrativni templeti > Komponente sustava Windows > Internet Explorer > Internet Upravljačka ploča > Napredna stranica > Isključi podršku za šifriranje. Pogledajte sliku 7.

  2. Dvokliknite Isključi podršku za šifriranje.

    Put do podrške za isključivanje šifriranja u GPedit.msc

    Slika 7: Put do isključenja podrške za šifriranje u pravilnik grupe uređivaču

  3. Odaberite mogućnost Omogućeno. Zatim pomoću padajućeg popisa odaberite TLS verziju koju želite omogućiti kao što je prikazano na slici 8.

    Isključivanje podrške za šifriranje omogućeno s padajućim izbornikom s prikazom raznih mogućnosti

    Slika 8: Omogući isključivanje podrške za šifriranje i padajućeg popisa

Kada omogućite pravilnik u uređivaču pravilnik grupe, ne možete ga promijeniti u internetskim mogućnostima. Ako, primjerice, odaberete Koristi SSL3.0 i TLS 1.0, sve ostale mogućnosti neće biti dostupne u internetskim mogućnostima. Pogledajte sliku 9. Postavke u odjeljku Internetske mogućnosti ne možete promijeniti ako omogućite isključivanje podrške za šifriranje u pravilnik grupe uređivaču.

Internetske mogućnosti sa zasivljenim SSL i TLS postavkama

Slika 9: Internetske mogućnosti s prikazom nedostupnih SSL i TLS postavki

Omogućivanje TLS verzije 1.1 i u nastavku (winhttp settings)

Pročitajte članak Ažuriranje da biste omogućili TLS 1.1 i TLS 1.2 kao zadane sigurne protokole u sustavu WinHTTP u sustavu Windows.

Važni putovi registra (wininet i postavke preglednika Internet Explorer)

  • Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings

    • Ovdje možete pronaći SecureProtocols koji pohranjuje vrijednost trenutno omogućenih protokola ako koristite uređivač pravilnik grupe editor.

  • Computer\HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings

    • Ovdje možete pronaći SecureProtocols koji pohranjuje vrijednost trenutno omogućenih protokola ako koristite internetske mogućnosti.

  • pravilnik grupe SecureProtocols ima prednost nad onom koji su postavili internetske mogućnosti.

Omogućivanje nesigurnog vraćanja TLS-a

Prethodno navedene izmjene omogućit će TLS 1.0 i TLS 1.1. No neće omogućiti pričuvni TLS. Da biste omogućili vraćanje TLS-a, morate postaviti EnableInsecureTlsFallback na 1 u registru ispod putova u nastavku.

  • Da biste promijenili postavke: SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\winhttp

  • Postavljanje pravilnika: SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings

Ako EnableInsecureTlsFallback nije prisutan, morate stvoriti novi unos DWORD i postaviti ga na 1.

Važni putovi registra

  1. ForceDefaultSecureProtocols  

    • HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\winhttp 

    • Po zadanom je FALSE. Postavljanjem vrijednosti koja nije nula aplikacije će se onemogućiti postavljanje prilagođenih protokola pomoću mogućnosti winhttp.

  2. EnableInsecureTlsFallback 

    • Da biste promijenili postavke: SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\winhttp

    • Postavljanje pravilnika: SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings

    • Po zadanom je FALSE. Postavljanje vrijednosti koja nije nula omogućit će aplikacijama vraćanje na nesigurne protokole (TLS1.0 i 1.1) ako rukovanje ne uspije uz sigurne protokole (tls1.2 i noviji).

Potrebna vam je dodatna pomoć?

Želite dodatne mogućnosti?

Istražite pogodnosti pretplate, pregledajte tečajeve za obuku, saznajte kako zaštititi uređaj i još mnogo toga.

Zajednice vam pomažu da postavljate pitanja i odgovarate na njih, pošaljete povratne informacije i čujete se sa stručnjacima s bogatim znanjem.