Applies ToWin 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows Server 2019 Windows 10 Enterprise Multi-Session, version 20H2 Windows 10 Enterprise and Education, version 20H2 Windows 10 IoT Enterprise, version 20H2 Windows 10 on Surface Hub Windows 10, version 21H1, all editions Windows 10, version 21H2, all editions

Сводка

Tls 1.0 и 1.1 — это протоколы безопасности для создания каналов шифрования через компьютерные сети. Майкрософт поддерживает их с Windows XP и Windows Server 2003. Однако нормативные требования меняются. Кроме того, в TLS 1.0 появились новые слабые места в области безопасности. Поэтому Майкрософт рекомендует удалить зависимости TLS 1.0 и 1.1. Кроме того, рекомендуется по возможности отключить ПРОТОКОЛы TLS 1.0 и 1.1 на уровне операционной системы. Дополнительные сведения см. в разделе Отключение TLS 1.0 и 1.1. В предварительном обновлении от 20 сентября 2022 г. мы по умолчанию отключим TLS 1.0 и 1.1 для приложений на основе winhttp и wininet. Это является частью текущих усилий. Эта статья поможет вам повторно включить их. Эти изменения будут отражены после установки обновлений Windows, выпущенных 20 сентября 2022 г. или позже.  

Поведение при доступе к ссылкам TLS 1.0 и 1.1 в браузере

После 20 сентября 2022 г. появится сообщение, когда браузер откроет веб-сайт, использующий TLS 1.0 или 1.1. См. рис. 1. В сообщении говорится, что сайт использует устаревший или небезопасный протокол TLS. Чтобы устранить эту проблему, можно обновить протокол TLS до TLS 1.2 или более поздней версии. Если это невозможно, можно включить ПРОТОКОЛ TLS, как описано в разделе Включение TLS версии 1.1 и ниже.

Окно Internet Explorer при доступе к каналу TLS 1.0 и 1.1

Рис. 1. Окно браузера при доступе к веб-странице TLS 1.0 и 1.1

Поведение при доступе к ссылкам TLS 1.0 и 1.1 в winhttp-приложениях

После обновления может произойти сбой приложений на основе winhttp. Сообщение об ошибке: "ERROR_WINHTTP_SECURE_FAILURE при выполнении операции WinHttpSendRequest".

Поведение при доступе к ссылкам TLS 1.0 и 1.1 в пользовательских приложениях пользовательского интерфейса на основе winhttp или wininet

Когда приложение пытается создать подключение с помощью TLS 1.1 и более следующих версий, подключение может показаться сбоем. Когда вы закрываете приложение или оно перестает работать, появится диалоговое окно Помощник по совместимости программ (PCA), как показано на рис. 2.

Всплывающее окно помощника по совместимости программ после закрытия приложения

Рис. 2. Диалоговое окно помощника по совместимости программ после закрытия приложения

В диалоговом окне PCA говорится: "Эта программа могла работать неправильно". При этом есть два варианта:

  • Запуск программы с помощью параметров совместимости

  • Эта программа запущена правильно

Запуск программы с помощью параметров совместимости

При выборе этого параметра приложение снова откроется. Теперь все ссылки, использующие TLS 1.0 и 1.1, работают правильно. С этого момента диалоговое окно PCA не будет отображаться. Редактор реестра добавляет записи к следующим путям:

  • Computer\HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Store

  • Computer\HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Layers. 

Если вы выбрали этот вариант по ошибке, эти записи можно удалить. При их удалении при следующем открытии приложения откроется диалоговое окно PCA.

Список программ, которые следует запускать с помощью параметров совместимости

Рис. 3. Список программ, которые должны выполняться с помощью параметров совместимости

Эта программа запущена правильно

При выборе этого параметра приложение обычно закрывается. При следующем повторном открытии приложения диалоговое окно PCA не отображается. Система блокирует все содержимое TLS 1.0 и 1.1. Редактор реестра добавляет следующую запись в путь Computer\HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Store. См. рис. 4. Если вы выбрали этот вариант по ошибке, эту запись можно удалить. Если удалить запись, при следующем открытии приложения откроется диалоговое окно PCA.

Запись в редакторе реестра, указывающая, что приложение работает правильно

Рис. 4. Запись в редакторе реестра о том, что приложение запущено правильно

Важно Устаревшие протоколы TLS включены только для определенных приложений. Это верно, даже если они отключены в параметрах на уровне системы.

Включение TLS версии 1.1 и более поздних версий (параметры wininet и Internet Explorer)

Не рекомендуется включать TLS 1.1 и более познак, так как они больше не считаются безопасными. Они уязвимы для различных атак, таких как атака POODLE. Поэтому перед включением TLS 1.1 выполните одно из следующих действий:

  • Проверьте, доступна ли более новая версия приложения.

  • Попросите разработчика приложения внести изменения в конфигурацию приложения, чтобы удалить зависимость от TLS 1.1 и более следующих версий.

Если ни одно из решений не работает, есть два способа включить устаревшие протоколы TLS в системных параметрах:

  • Параметры браузера

  • Редактор групповой политики

Параметры браузера

Чтобы открыть свойства браузера, введите Свойства браузера в поле поиска на панели задач. Вы также можете выбрать Изменить параметры в диалоговом окне, показанном на рис. 1. На вкладке Дополнительно прокрутите вниз на панели Параметры . Там можно включить или отключить протоколы TLS.

Окно параметров браузера

Рис. 5. Диалоговое окно "Свойства интернета"

Редактор групповая политика

Чтобы открыть редактор групповая политика, введите gpedit.msc в поле поиска на панели задач. Появится окно, аналогичное тому, что показано на рис. 6. 

Окно редактора групповой политики

Рис. 6. Окно редактора групповая политика

  1. Перейдите в раздел > политики локального компьютера(конфигурация компьютера или конфигурация пользователя) > Административные храмы > Компоненты Windows > Internet Explorer > Internet панель управления > Дополнительно > Отключить поддержку шифрования. См. рис. 7.

  2. Дважды щелкните Отключить поддержку шифрования.

    Путь к отключению поддержки шифрования в GPedit.msc

    Рис. 7. Путь к отключению поддержки шифрования в редакторе групповая политика

  3. Выберите параметр Включено . Затем в раскрывающемся списке выберите версию TLS, которую нужно включить, как показано на рис. 8.

    Отключить поддержку шифрования с помощью раскрывающегося списка с различными параметрами

    Рис. 8. Включить отключение поддержки шифрования и раскрывающийся список

После включения политики в редакторе групповая политика вы не сможете изменить ее в свойствах браузера. Например, если выбрать Использовать SSL3.0 и TLS 1.0, все остальные параметры будут недоступны в разделе Свойства браузера. См. рис. 9. Вы не сможете изменить параметры в свойствах браузера, если включите отключить поддержку шифрования в редакторе групповая политика.

Параметры браузера с неактивными параметрами SSL и TLS

Рис. 9. Параметры браузера с недоступными параметрами SSL и TLS

Включите TLS версии 1.1 и более поздних версий (параметры winhttp)

См. статью Обновление, чтобы включить протоколы TLS 1.1 и TLS 1.2 в качестве протоколов безопасности по умолчанию в WinHTTP в Windows.

Важные пути к реестру (параметры wininet и Internet Explorer)

  • Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings

    • Здесь вы можете найти SecureProtocols, в котором хранится значение протоколов, включенных в данный момент, если вы используете редактор групповая политика.

  • Computer\HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings

    • Здесь вы можете найти SecureProtocols, в котором хранится значение протоколов, включенных в данный момент, если вы используете свойства браузера.

  • групповая политика SecureProtocols будет иметь приоритет над параметром Internet Options.

Включение небезопасной резервной передачи TLS

Приведенные выше изменения включают TLS 1.0 и TLS 1.1. Однако они не будут включать резервную версию TLS. Чтобы включить резервную версию TLS, необходимо задать для параметра EnableInsecureTlsFallback значение 1 в реестре по приведенным ниже путям.

  • Изменение параметров: SOFTWARE\Майкрософт\Windows\CurrentVersion\Internet Settings\winhttp

  • Настройка политики: SOFTWARE\Policies\Майкрософт\Windows\CurrentVersion\Internet Settings

Если параметр EnableInsecureTlsFallback отсутствует, необходимо создать новую запись DWORD и задать для нее значение 1.

Важные пути к реестру

  1. ForceDefaultSecureProtocols  

    • HKLM\SOFTWARE\Майкрософт\Windows\CurrentVersion\Internet Settings\winhttp 

    • По умолчанию используется значение FALSE. Установка значения, отличного от нуля, не позволит приложениям задавать пользовательские протоколы с помощью параметра winhttp.

  2. EnableInsecureTlsFallback 

    • Изменение параметров: SOFTWARE\Майкрософт\Windows\CurrentVersion\Internet Settings\winhttp

    • Настройка политики: SOFTWARE\Policies\Майкрософт\Windows\CurrentVersion\Internet Settings

    • По умолчанию используется значение FALSE. Установка значения, отличного от нуля, позволит приложениям вернуться к небезопасным протоколам (TLS1.0 и 1.1), если подтверждение завершается сбоем с безопасными протоколами (tls1.2 и более поздних версий).

Нужна дополнительная помощь?

Нужны дополнительные параметры?

Изучите преимущества подписки, просмотрите учебные курсы, узнайте, как защитить свое устройство и т. д.

В сообществах можно задавать вопросы и отвечать на них, отправлять отзывы и консультироваться с экспертами разных профилей.