Suvestinė
Transportavimo lygmens sauga (TLS) 1.0 ir 1.1 yra saugos protokolai, skirti šifravimo kanalams kompiuterių tinkluose kurti. "Microsoft" jas palaiko nuo "Windows XP" ir "Windows Server 2003". Tačiau keičiasi reguliavimo reikalavimai. Be to, yra naujų saugumo trūkumų TLS 1.0. Todėl "Microsoft" rekomenduoja pašalinti TLS 1.0 ir 1.1 priklausomybes. Taip pat, jei įmanoma, rekomenduojame išjungti TLS 1.0 ir 1.1 operacinės sistemos lygiu. Daugiau informacijos žr. TLS 1.0 ir 1.1 išjungimas. 2022 m. rugsėjo 20 d. peržiūros naujinime išjungsime "TLS 1.0" ir "TLS 1.1" pagal numatytuosius parametrus programoms, pagrįstoms winhttp ir wininet. Tai yra nuolatinių pastangų dalis. Šis straipsnis padės iš naujo jas įgalinti. Šie pakeitimai atsispindės įdiegus "Windows" naujinimus, išleistus 2022 m. rugsėjo 20 d. arba vėliau.
Veikimas bandant naršyklėje pasiekti TLS 1.0 ir 1.1 saitus
Po 2022 m. rugsėjo 20 d. bus rodomas pranešimas, kai naršyklė atidarys svetainę, naudojančią TLS 1.0 arba TLS 1.1. Žr. 1 pav. Pranešime nurodoma, kad svetainė naudoja pasenusią arba nesaugų TLS protokolą. Norėdami išspręsti šią problemą, galite atnaujinti TLS protokolo TLS 1.2 arba naujesnės versijos. Jei tai neįmanoma, galite įgalinti TLS, kaip aptarta TLS 1.1 ir naujesnėse versijose įgalinimas.
1 pav. Naršyklės langas bandant pasiekti TLS 1.0 ir 1.1 tinklalapį
Veikimas bandant pasiekti TLS 1.0 ir 1.1 saitus winhttp programose
Po naujinimo gali nepavykti winhttp pagrindu veikiančios programos. Klaidos pranešimas: "ERROR_WINHTTP_SECURE_FAILURE atliekant "WinHttpSendRequest" operaciją."
Veikimas bandant pasiekti TLS 1.0 ir 1.1 saitus pasirinktinėse vartotojo sąsajos programose, pagrįstose winhttp arba wininet
Kai programa bando sukurti ryšį naudojant TLS 1.1 ir toliau, ryšys gali nepavykti. Kai uždarote programą arba ji nustoja veikti, dialogo langas Programų suderinamumo asistentas (PCA) rodomas kaip parodyta 2 paveikslėlyje.
2 pav. Programos suderinamumo pagalbinės priemonės dialogo langas uždarius programą
PCA dialogo lange nurodoma: "Gali būti, kad ši programa veikia netinkamai". Po to yra dvi parinktys:
-
Paleiskite programą naudodami suderinamumo parametrus
-
Ši programa veikė tinkamai
Paleiskite programą naudodami suderinamumo parametrus
Pasirinkus šią parinktį, programa atidaroma iš naujo. Dabar visi saitai, kurie naudoja TLS 1.0 ir 1.1 veikia tinkamai. Nuo tada nebus rodomas joks PCA dialogo langas. Registro rengyklė įtraukia įrašus į šiuos kelius:
-
Computer\HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Store.
-
Computer\HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Layers.
Jei šią parinktį pasirinkote per klaidą, galite panaikinti šiuos įrašus. Jei juos panaikinsite, kitą kartą atidarę programėlę, matysite PCA dialogo langą.
3 pav. Programų, kurios turėtų veikti naudojant suderinamumo parametrus, sąrašas
Ši programa veikė tinkamai
Pasirinkus šią parinktį, programa uždaroma įprastai. Kai kitą kartą iš naujo atidarysite taikomąją programą, nepasirodys joks PCA dialogo langas. Sistema blokuoja visą TLS 1.0 ir 1.1 turinį. Registro rengyklė įtraukia šį įrašą į kelią ,Computer\HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Store. Žr. 4 pav. Jei šią parinktį pasirinkote per klaidą, galite panaikinti šį įrašą. Jei panaikinsite įrašą, pca dialogo langą matysite kitą kartą atidarę programą.
4 pav. Įrašas registro rengyklėje, nurodantis, kad programa veikė tinkamai
Svarbu Senstelėję TLS protokolai įgalinti tik konkrečiose programose. Tai tiesa, net jei jos išjungtos visos sistemos parametruose.
Įjungti TLS 1.1 ir naujesnę versiją (wininet ir "Internet Explorer" parametrai)
Nerekomenduojame įgalinti TLS 1.1 ir naujesnėse versijoje, nes jos nebėra laikomos saugiomis. Jie yra pažeidžiami dėl įvairių atakų, pvz., POODLE atakos. Taigi, prieš įgalindami TLS 1.1, atlikite vieną iš šių veiksmų:
-
Patikrinkite, ar yra naujesnė programos versija.
-
Paprašykite programėlės kūrėjo atlikti konfigūracijos keitimus programėlėje, kad būtų pašalinta priklausomybė nuo "TLS 1.1" ir toliau.
Jei nė vienas iš sprendimų neveikia, sistemos parametruose yra du senstelėjusių TLS protokolų įgalinimo būdai:
-
Interneto parinktys
-
Grupės strategijos rengyklė
Interneto parinktys
Norėdami atidaryti interneto parinktis, užduočių juostos ieškos lauke įveskite Interneto parinktys . Taip pat galite pasirinkti Keisti parametrus dialogo lange, parodytame 1 paveikslėlyje. Skirtuke Išsamiau slinkite žemyn srityje Parametrai . Čia galite įjungti arba išjungti TLS protokolus.
5 pav. Dialogo langas Interneto ypatybės
Grupės strategija rengyklė
Norėdami atidaryti Grupės strategija rengyklę, užduočių juostos ieškos lauke įveskite gpedit.msc. Rodomas langas, kaip parodyta 6 paveikslėlyje.
6 pav.: Grupės strategija rengyklės langas
-
Eikite į Vietinio kompiuterio strategijos > (Kompiuterio konfigūracija arba Vartotojo konfigūracija) > Administravimo šventyklos > "Windows" komponentai > "Internet Explorer" > Internet valdymo skydas > Išplėstinis puslapis > Išjungti šifravimo palaikymą. Žr. 7 pav.
-
Dukart spustelėkite Išjungti šifravimo palaikymą.
7 pav. Šifravimo palaikymo išjungimo Grupės strategija rengyklėje kelias
-
Pasirinkite parinktį Įgalinta . Tada išplečiamajame sąraše pasirinkite NORIMĄ įgalinti TLS versiją, kaip parodyta 8 paveikslėlyje.
8 pav.: Įgalinti šifravimo palaikymo išjungimą ir išplečiamąjį sąrašą
Įgalinus strategiją Grupės strategija rengyklėje, jos negalima keisti interneto parinktyse. Pavyzdžiui, pasirinkus Naudoti SSL3.0 ir TLS 1.0, visos kitos parinktys bus nepasiekiamos interneto parinktyse. Žr. 9 pav. Jei Grupės strategija rengyklėje įjungsite šifravimo palaikymo išjungimas, negalėsite keisti jokių interneto parinkčių parametrų.
9 pav. Interneto parinktys, kuriose rodomi nepasiekiami SSL ir TLS parametrai
Įjungti TLS 1.1 ir tolesnę versiją (winhttp parametrai)
Svarbūs registro keliai (wininet ir "Internet Explorer" parametrai)
-
Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings
-
Čia rasite SecureProtocols, kuriuose saugoma šiuo metu įgalintų protokolų reikšmė, jei naudojate Grupės strategija rengyklę.
-
-
Computer\HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings
-
Čia rasite SecureProtocols, kuriuose saugoma šiuo metu įgalintų protokolų reikšmė, jei naudojate interneto parinktis.
-
-
Grupės strategija SecureProtocols bus viršesnis už interneto parinkčių rinkinį.
Nesaugaus TLS atsarginio kopijavimo įjungimas
Anksčiau atlikti pakeitimai įgalins TLS 1.0 ir TLS 1.1. Tačiau jie neįjungs TLS atsarginio. Norėdami įjungti TLS atsarginį kopijavimą, turite nustatyti EnableInsecureTlsFallback į 1 registre toliau nurodytu keliu.
-
Norėdami pakeisti parametrus: SOFTWARE\"Microsoft"\Windows\CurrentVersion\Internet Settings\winhttps://support.office.com/?lang=1
-
Norėdami nustatyti strategiją: SOFTWARE\Policies\"Microsoft"\Windows\CurrentVersion\Internet Settings
Jei Nėra EnableInsecureTlsFallback , turite sukurti naują DWORD įrašą ir nustatyti jį į 1.
Svarbūs registro keliai
-
ForceDefaultSecureProtocols
-
HKLM\SOFTWARE\"Microsoft"\Windows\CurrentVersion\Internet Settings\winhttps://support.office.com/?
-
Pagal numatytuosius nustatymus ji yra FALSE. Nustačius ne nulinę reikšmę, programos nebenustatys pasirinktinių protokolų naudodami winhttp parinktį.
-
-
EnableInsecureTlsFallback
-
Norėdami pakeisti parametrus: SOFTWARE\"Microsoft"\Windows\CurrentVersion\Internet Settings\winhttps://support.office.com/?lang=1
-
Norėdami nustatyti strategiją: SOFTWARE\Policies\"Microsoft"\Windows\CurrentVersion\Internet Settings
-
Pagal numatytuosius nustatymus ji yra FALSE. Nustačius ne nulinę reikšmę, programos galės grįžti prie nesaugių protokolų (TLS1.0 ir 1.1), jei patvirtinimui atlikti nepavyks naudojant saugius protokolus (tls1.2 ir naujesnės versijos).
-