Oppsummering
Transport Layer Security (TLS) 1.0 og 1.1 er sikkerhetsprotokoller for oppretting av krypteringskanaler over datanettverk. Microsoft har støttet dem siden Windows XP og Windows Server 2003. Forskriftsmessige krav endres imidlertid. Det er også nye sikkerhetssvakheter i TLS 1.0. Så Microsoft anbefaler at du fjerner TLS 1.0- og 1.1-avhengigheter. Vi anbefaler også at du deaktiverer TLS 1.0 og 1.1 på operativsystemnivå der det er mulig. Hvis du vil ha mer informasjon, kan du se deaktivering av TLS 1.0 og 1.1. I oppdateringen for forhåndsvisning 20. september 2022 deaktiverer vi TLS 1.0 og 1.1 som standard for programmer basert på winhttp og wininet. Dette er en del av en pågående innsats. Denne artikkelen hjelper deg med å aktivere dem på nytt. Disse endringene gjenspeiles når du installerer Windows-oppdateringer utgitt 20. september 2022.
Virkemåte ved tilgang til TLS 1.0- og 1.1-koblinger i nettleseren
Etter 20. september 2022 vises en melding når nettleseren åpner et nettsted som bruker TLS 1.0 eller 1.1. Se figur 1. Meldingen sier at nettstedet bruker en utdatert eller usikker TLS-protokoll. Du kan løse dette ved å oppdatere TLS-protokollen til TLS 1.2 eller nyere. Hvis dette ikke er mulig, kan du aktivere TLS som beskrevet i aktivering av TLS versjon 1.1 og nedenfor.
Figur 1: Nettleservindu når du åpner TLS 1.0- og 1.1-nettsiden
Virkemåte ved tilgang til TLS 1.0- og 1.1-koblinger i Winhttp-programmer
Etter oppdateringen kan programmer basert på winhttp mislykkes. Feilmeldingen er «ERROR_WINHTTP_SECURE_FAILURE mens du utfører WinHttpSendRequest-operasjonen».
Virkemåte ved tilgang til TLS 1.0- og 1.1-koblinger i egendefinerte brukergrensesnittprogrammer basert på winhttp eller wininet
Når et program prøver å opprette en tilkobling ved hjelp av TLS 1.1 og under, kan det hende tilkoblingen mislykkes. Når du lukker et program eller slutter å fungere, vises dialogboksen Program Compatibility Assistant (PCA) som vist i Figur 2.
Figur 2: Dialogboksen Programkompatibilitetsassistent etter å ha lukket et program
I PCA-dialogboksen står det «Det kan hende at dette programmet ikke har kjørt riktig.» Under dette finnes det to alternativer:
-
Kjør programmet ved hjelp av kompatibilitetsinnstillinger
-
Dette programmet kjørte på riktig måte
Kjør programmet ved hjelp av kompatibilitetsinnstillinger
Når du velger dette alternativet, åpnes programmet på nytt. Nå fungerer alle koblingene som bruker TLS 1.0 og 1.1 riktig. Fra da av vises ingen PCA-dialogboks. Registerredigering legger til oppføringer i følgende baner:
-
Computer\HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Store.
-
Computer\HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Layers.
Hvis du velger dette alternativet ved en feiltakelse, kan du slette disse oppføringene. Hvis du sletter dem, ser du PCA-dialogboksen neste gang du åpner appen.
Figur 3: Liste over programmer som skal kjøres ved hjelp av kompatibilitetsinnstillinger
Dette programmet kjørte på riktig måte
Når du velger dette alternativet, lukkes programmet normalt. Neste gang du åpner programmet på nytt, vises ingen PCA-dialogboks. Systemet blokkerer alt TLS 1.0- og 1.1-innhold. Registerredigering legger til følgende oppføring i banen Computer\HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Store. Se figur 4. Hvis du velger dette alternativet ved en feiltakelse, kan du slette denne oppføringen. Hvis du sletter oppføringen, ser du PCA-dialogboksen neste gang du åpner appen.
Figur 4: Oppføring i Registerredigering som sier at appen kjørte riktig
Viktig Eldre TLS-protokoller er bare aktivert for bestemte programmer. Dette gjelder selv om de er deaktivert i systemomfattende innstillinger.
Aktiver TLS versjon 1.1 og under (wininet- og Internet Explorer-innstillinger)
Vi anbefaler ikke å aktivere TLS 1.1 og under fordi de ikke lenger anses som sikre. De er sårbare for ulike angrep, for eksempel POODLE-angrepet. Så før du aktiverer TLS 1.1, gjør du ett av følgende:
-
Kontroller om en nyere versjon av programmet er tilgjengelig.
-
Be apputvikleren om å gjøre konfigurasjonsendringer i appen for å fjerne avhengighet av TLS 1.1 og under.
I tilfelle ingen av løsningene fungerer, finnes det to måter å aktivere eldre TLS-protokoller på i systemomfattende innstillinger:
-
Alternativer for Internett
-
Redigeringsprogram for gruppepolicy
Alternativer for Internett
Hvis du vil åpne Alternativer for Internett, skriver du inn Alternativer for Internett i søkeboksen på oppgavelinjen. Du kan også velge Endre innstillinger fra dialogboksen som vises i Figur 1. Rull ned i Innstillinger-panelet på Avansert-fanen. Der kan du aktivere eller deaktivere TLS-protokoller.
Figur 5: Dialogboksen Egenskaper for Internett
Redigeringsprogrammet for gruppepolicy
Hvis du vil åpne gruppepolicy Editor, skriver du inn gpedit.msc i søkeboksen på oppgavelinjen. Et vindu som det som vises i Figur 6, vises.
Figur 6: gruppepolicy Redigeringsprogram-vindu
-
Gå til local computer policy > (datamaskinkonfigurasjon eller brukerkonfigurasjon) > administrative templer > Windows-komponenter > Internet Explorer > Internet Kontrollpanel > Advanced Page > Slå av krypteringsstøtte. Se figur 7.
-
Dobbeltklikk Slå av krypteringsstøtte.
Figur 7: Banen til å deaktivere krypteringsstøtte i gruppepolicy Editor
-
Velg alternativet Aktivert . Bruk deretter rullegardinlisten til å velge TLS-versjonen du vil aktivere, som vist i figur 8.
Figur 8: Aktiver deaktiver krypteringsstøtte og rullegardinliste
Når du aktiverer policyen i redigeringsprogrammet for gruppepolicy, kan du ikke endre den i Alternativer for Internett. Hvis du for eksempel velger Bruk SSL3.0 og TLS 1.0, vil alle andre alternativer være utilgjengelige i Alternativer for Internett. Se figur 9. Du kan ikke endre noen av innstillingene i Alternativer for Internett hvis du aktiverer Deaktiver krypteringsstøtte i gruppepolicy Editor.
Figur 9: Alternativer for Internett som viser utilgjengelige SSL- og TLS-innstillinger
Aktiver TLS versjon 1.1 og under (winhttp-innstillinger)
Se Oppdatering for å aktivere TLS 1.1 og TLS 1.2 som standard sikre protokoller i WinHTTP i Windows.
Viktige registerbaner (wininet- og Internet Explorer-innstillinger)
-
Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings
-
Her finner du SecureProtocols, som lagrer verdien av de gjeldende aktiverte protokollene hvis du bruker gruppepolicy Editor.
-
-
Computer\HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings
-
Her finner du SecureProtocols, som lagrer verdien av gjeldende aktiverte protokoller hvis du bruker Alternativer for Internett.
-
-
gruppepolicy SecureProtocols vil ha prioritet over det som er angitt av Alternativer for Internett.
Aktiver usikker TLS-tilbakefall
Endringene ovenfor aktiverer TLS 1.0 og TLS 1.1. De vil imidlertid ikke aktivere TLS-tilbakefall. Hvis du vil aktivere TLS-tilbakefall, må du angi EnableInsecureTlsFallback til 1 i registeret under banene nedenfor.
-
Slik endrer du innstillinger: SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\winhttp
-
Slik angir du policy: SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings
Hvis EnableInsecureTlsFallback ikke finnes, må du opprette en ny DWORD-oppføring og angi den til 1.
Viktige registerbaner
-
ForceDefaultSecureProtocols
-
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\winhttp
-
Den er USANN som standard. Hvis du angir en verdi som ikke er null, vil programmer ikke angi egendefinerte protokoller ved hjelp av winhttp-alternativet.
-
-
EnableInsecureTlsFallback
-
Slik endrer du innstillinger: SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\winhttp
-
Slik angir du policy: SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings
-
Den er USANN som standard. Hvis du angir en verdi som ikke er null, kan programmer falle tilbake til usikre protokoller (TLS1.0 og 1.1) hvis håndtrykket mislykkes med sikre protokoller (tls1.2 og høyere).
-