Сводка
Tls 1.0 и 1.1 — это протоколы безопасности для создания каналов шифрования через компьютерные сети. Майкрософт поддерживает их с Windows XP и Windows Server 2003. Однако нормативные требования меняются. Кроме того, в TLS 1.0 появились новые слабые места в области безопасности. Поэтому Майкрософт рекомендует удалить зависимости TLS 1.0 и 1.1. Кроме того, рекомендуется по возможности отключить ПРОТОКОЛы TLS 1.0 и 1.1 на уровне операционной системы. Дополнительные сведения см. в разделе Отключение TLS 1.0 и 1.1. В предварительном обновлении от 20 сентября 2022 г. мы по умолчанию отключим TLS 1.0 и 1.1 для приложений на основе winhttp и wininet. Это является частью текущих усилий. Эта статья поможет вам повторно включить их. Эти изменения будут отражены после установки обновлений Windows, выпущенных 20 сентября 2022 г. или позже.
Поведение при доступе к ссылкам TLS 1.0 и 1.1 в браузере
После 20 сентября 2022 г. появится сообщение, когда браузер откроет веб-сайт, использующий TLS 1.0 или 1.1. См. рис. 1. В сообщении говорится, что сайт использует устаревший или небезопасный протокол TLS. Чтобы устранить эту проблему, можно обновить протокол TLS до TLS 1.2 или более поздней версии. Если это невозможно, можно включить ПРОТОКОЛ TLS, как описано в разделе Включение TLS версии 1.1 и ниже.
Рис. 1. Окно браузера при доступе к веб-странице TLS 1.0 и 1.1
Поведение при доступе к ссылкам TLS 1.0 и 1.1 в winhttp-приложениях
После обновления может произойти сбой приложений на основе winhttp. Сообщение об ошибке: "ERROR_WINHTTP_SECURE_FAILURE при выполнении операции WinHttpSendRequest".
Поведение при доступе к ссылкам TLS 1.0 и 1.1 в пользовательских приложениях пользовательского интерфейса на основе winhttp или wininet
Когда приложение пытается создать подключение с помощью TLS 1.1 и более следующих версий, подключение может показаться сбоем. Когда вы закрываете приложение или оно перестает работать, появится диалоговое окно Помощник по совместимости программ (PCA), как показано на рис. 2.
Рис. 2. Диалоговое окно помощника по совместимости программ после закрытия приложения
В диалоговом окне PCA говорится: "Эта программа могла работать неправильно". При этом есть два варианта:
-
Запуск программы с помощью параметров совместимости
-
Эта программа запущена правильно
Запуск программы с помощью параметров совместимости
При выборе этого параметра приложение снова откроется. Теперь все ссылки, использующие TLS 1.0 и 1.1, работают правильно. С этого момента диалоговое окно PCA не будет отображаться. Редактор реестра добавляет записи к следующим путям:
-
Computer\HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Store.
-
Computer\HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Layers.
Если вы выбрали этот вариант по ошибке, эти записи можно удалить. При их удалении при следующем открытии приложения откроется диалоговое окно PCA.
Рис. 3. Список программ, которые должны выполняться с помощью параметров совместимости
Эта программа запущена правильно
При выборе этого параметра приложение обычно закрывается. При следующем повторном открытии приложения диалоговое окно PCA не отображается. Система блокирует все содержимое TLS 1.0 и 1.1. Редактор реестра добавляет следующую запись в путь Computer\HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Store. См. рис. 4. Если вы выбрали этот вариант по ошибке, эту запись можно удалить. Если удалить запись, при следующем открытии приложения откроется диалоговое окно PCA.
Рис. 4. Запись в редакторе реестра о том, что приложение запущено правильно
Важно Устаревшие протоколы TLS включены только для определенных приложений. Это верно, даже если они отключены в параметрах на уровне системы.
Включение TLS версии 1.1 и более поздних версий (параметры wininet и Internet Explorer)
Не рекомендуется включать TLS 1.1 и более познак, так как они больше не считаются безопасными. Они уязвимы для различных атак, таких как атака POODLE. Поэтому перед включением TLS 1.1 выполните одно из следующих действий:
-
Проверьте, доступна ли более новая версия приложения.
-
Попросите разработчика приложения внести изменения в конфигурацию приложения, чтобы удалить зависимость от TLS 1.1 и более следующих версий.
Если ни одно из решений не работает, есть два способа включить устаревшие протоколы TLS в системных параметрах:
-
Параметры браузера
-
Редактор групповой политики
Параметры браузера
Чтобы открыть свойства браузера, введите Свойства браузера в поле поиска на панели задач. Вы также можете выбрать Изменить параметры в диалоговом окне, показанном на рис. 1. На вкладке Дополнительно прокрутите вниз на панели Параметры . Там можно включить или отключить протоколы TLS.
Рис. 5. Диалоговое окно "Свойства интернета"
Редактор групповая политика
Чтобы открыть редактор групповая политика, введите gpedit.msc в поле поиска на панели задач. Появится окно, аналогичное тому, что показано на рис. 6.
Рис. 6. Окно редактора групповая политика
-
Перейдите в раздел > политики локального компьютера(конфигурация компьютера или конфигурация пользователя) > Административные храмы > Компоненты Windows > Internet Explorer > Internet панель управления > Дополнительно > Отключить поддержку шифрования. См. рис. 7.
-
Дважды щелкните Отключить поддержку шифрования.
Рис. 7. Путь к отключению поддержки шифрования в редакторе групповая политика
-
Выберите параметр Включено . Затем в раскрывающемся списке выберите версию TLS, которую нужно включить, как показано на рис. 8.
Рис. 8. Включить отключение поддержки шифрования и раскрывающийся список
После включения политики в редакторе групповая политика вы не сможете изменить ее в свойствах браузера. Например, если выбрать Использовать SSL3.0 и TLS 1.0, все остальные параметры будут недоступны в разделе Свойства браузера. См. рис. 9. Вы не сможете изменить параметры в свойствах браузера, если включите отключить поддержку шифрования в редакторе групповая политика.
Рис. 9. Параметры браузера с недоступными параметрами SSL и TLS
Включите TLS версии 1.1 и более поздних версий (параметры winhttp)
Важные пути к реестру (параметры wininet и Internet Explorer)
-
Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings
-
Здесь вы можете найти SecureProtocols, в котором хранится значение протоколов, включенных в данный момент, если вы используете редактор групповая политика.
-
-
Computer\HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings
-
Здесь вы можете найти SecureProtocols, в котором хранится значение протоколов, включенных в данный момент, если вы используете свойства браузера.
-
-
групповая политика SecureProtocols будет иметь приоритет над параметром Internet Options.
Включение небезопасной резервной передачи TLS
Приведенные выше изменения включают TLS 1.0 и TLS 1.1. Однако они не будут включать резервную версию TLS. Чтобы включить резервную версию TLS, необходимо задать для параметра EnableInsecureTlsFallback значение 1 в реестре по приведенным ниже путям.
-
Изменение параметров: SOFTWARE\Майкрософт\Windows\CurrentVersion\Internet Settings\winhttp
-
Настройка политики: SOFTWARE\Policies\Майкрософт\Windows\CurrentVersion\Internet Settings
Если параметр EnableInsecureTlsFallback отсутствует, необходимо создать новую запись DWORD и задать для нее значение 1.
Важные пути к реестру
-
ForceDefaultSecureProtocols
-
HKLM\SOFTWARE\Майкрософт\Windows\CurrentVersion\Internet Settings\winhttp
-
По умолчанию используется значение FALSE. Установка значения, отличного от нуля, не позволит приложениям задавать пользовательские протоколы с помощью параметра winhttp.
-
-
EnableInsecureTlsFallback
-
Изменение параметров: SOFTWARE\Майкрософт\Windows\CurrentVersion\Internet Settings\winhttp
-
Настройка политики: SOFTWARE\Policies\Майкрософт\Windows\CurrentVersion\Internet Settings
-
По умолчанию используется значение FALSE. Установка значения, отличного от нуля, позволит приложениям вернуться к небезопасным протоколам (TLS1.0 и 1.1), если подтверждение завершается сбоем с безопасными протоколами (tls1.2 и более поздних версий).
-